martedì 30 dicembre 2008

Tutto sbagliato, tutto da rifare...

Non so se sia dovuto alle feste appena passate, per cui molti risentono dei postumi, o se invece siano solo gli influssi negativi di questo ultimo periodo che stanno ponendo i loro tentacoli...

... fattosta che in questi giorni ne ho viste di tutti i colori.
Il mio router {D-Link DSL-2640B con [si suppone (grin)] wi-fi, vpn-pass through, ottima interfaccia web in italiano e firmware opensource} ad esempio:
  1. Ha il server DHCP integrato che impiega almeno 5 minuti a fornire un indirizzo IP ad un client windows. I client Linux, invece, hanno dhclient che va rigorosamente in timeout...
  2. L'interfaccia wi-fi (che mi ha sempre fatto vedere i sorci verdi...) semplicemente ha smesso di funzionare: indipendentemente dal canale su cui trasmetto (anche impostazione "auto"), dalla protezione, dall'incapsulazione e in generale da qualsiasi impostazione dia al wi-fi... nessun apparato rileva alcun segnale wi-fi proveniente dallo scatolotto (manco il mio telefonino Nokia E61 messo a 30cm da' qualche segno specifico: vedo le reti del vicinato, dal balcone persino quella dell'ufficio, ma stop);
  3. Il servizio NAT/Virtual Server e' li' solo per fare presenza sull'interfaccia, dato che di una decina di porte aperte in diverse direzioni, da un test remoto non risulta aperto alcunche' (cosa che mi spiega per quale capo di ca%%o di motivo nell'ultimo mese il PAP-2 continua a perdermi la connessione dopo 24-36 ore di funzionamento)
  4. Il reverse DNS Caching e' a dir poco pirotecnico, e accoppiato alla maledizione nera di OpenDNS [a casa non uso un'istanza autoritativa di BIND9 come in ufficio (e bravo idiota, Grizzly, dittelo da solo)] cominciava a fare si' che il 90% dei siti che aprivo mi si coalizzasse in schermate di errore di OpenDNS (bello, peraltro: mi si apre la home page di blogger, metto username e password, clicko accedi... voila': "OpenDNS Blogger is not loading"; io: "Ma porco ca%%8876(/&(/&&%$/&%$&%$" indietro, avanti, riposta, Ok. Ri-Voila: "Blogger: si e' verificato un errore J8S1C4220B3NDU7O nella guru meditation della supercazzora in carriola riprova piu' tardi").
Dopo qualche incantesimo (in particolare un reset al factory default e una riconfigurazione fatta a manina) sembra collaborare un tantinello meglio (almeno il wi-fi funziona di nuovo, sul NAT devo provare ancora).
Nel frattempo sto ravanando con piacere sull'EEE-PC (gia' sostituito) per il momento usando Xandros: ho ordinato su e-bay un po' di roba fra cui una memory-card SD da 8Gb: non appena arriva salvo lo stato del disco e installo ubuntu... voglio vedere se riesco a farci girare compiz ((-: [su youtube mostrano d'esserci riusciti...]

Tra l'altro stamattina sto combattendo in ufficio con il server principale (Ronny). Infatti nonostante abbia installato sshblacklist per tenere lontani vandali e rompiscatole [tanto SSHd prende solo i certificati, gne-gne-gne! q-: ], ma a quanto pare al momento di monitorare la cosa pare funzionare correttamente (oddio, nonostante un limite di tre tentativi, il log mi scoppia di centinaia di righe "Watching xxx.yyy.www.zzz as potential attacker" per identici valori dell'indirizzo IP. E quando finalmente si decide di dare un IP in pasto alla catena di blacklist... ma guardate un'estratto del log per capire com'e' la storia:
[Fri Dec 19 18:15:37 2008]  SSHBLACK is Starting...
[Fri Dec 19 18:15:37 2008] Monitoring your log file for future attacks
iptables: Bad rule (does a matching rule exist in that chain?)
[Sat Dec 20 00:45:39 2008] Freeing 200.107.29.25
iptables: Bad rule (does a matching rule exist in that chain?)
[Sat Dec 20 18:05:48 2008] Freeing 77.75.160.50
iptables: Bad rule (does a matching rule exist in that chain?)
[Sun Dec 21 03:55:51 2008] Freeing 140.247.114.85
iptables: Bad rule (does a matching rule exist in that chain?)
[Sun Dec 21 04:05:51 2008] Freeing 204.251.93.61
[Sun Dec 21 15:02:10 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:02:17 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:02:24 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:02:30 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:02:30 2008] 70.159.142.58 being blocked because of Invalid user
[Sun Dec 21 15:02:44 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:02:51 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:02:58 2008] Watching 70.159.142.58 as potential attacker
[Sun Dec 21 15:03:19 2008] Watching 70.159.142.58 as potential attacker
Ora, il che comporta che l'inserimento dell'IP in blacklist non va correttamente a buon fine (l'IP viene listato nella catena, ma non viene bloccato), mentre la sua cancellazione va a buon fine salvo generare comunque un errore "Bad rule"...
... mica l'ho capito perche'... Sapete consigliarmi un sistema similare per bloccare gli IP che spooffano SSH? Oppure se c'e' qualche hack per far funzionare sshblack su Ubuntu? Peraltro con Ubuntu 6.06 LTS andava perfettamente, ora che c'e' la 8.04LTS invece comincio a vedere questi problemi...
A scanso di dubbi, le regole usate per creare la catena (all'avviamento del PC), per bloccare e per sbloccare un IP sono le seguenti:
da /etc/rc.local:
# avvia SSHBlacklist
iptables -N BLACKLIST
iptables -A INPUT -p tcp -m tcp --dport 22 --syn -j BLACKLIST
/opt/sshblack/sshblack.pl

da /opt/sshblack/sshblack.pl
my($ADDRULE) = '/sbin/iptables -I BLACKLIST -s ipaddress -j DROP';
my($DELRULE) = '/sbin/iptables -D BLACKLIST -s ipaddress -j DROP';
Io non riesco a venirne a capo, se faccio un controllo sulla blacklist, sembra tutto a posto:
grizzly@ronny:~$ sudo iptables -L BLACKLIST
Chain BLACKLIST (1 references)
target prot opt source destination
DROP all -- 48.105.145.219.broad.xy.sn.dynamic.163data.com.cn anywhere
DROP all -- 8.10.7.162 anywhere
DROP all -- 221.204.251.32 anywhere
grizzly@ronny:~$
Eppure nonostante il drop, continuano a passare...
Mah... Ogni mano e' ben accetta ((-:

0 commenti: