Werk jy in 'n cybersecurity-maatskappy? Wil jy jou maatskappy adverteer in HackTricks? Of wil jy toegang hê tot die nuutste weergawe van die PEASS of laai HackTricks in PDF af? Kyk na die SUBSCRIPTION PLANS!
In iptables word lys van reëls wat kettings genoem word, sekwensieel verwerk. Daar is drie primêre kettings wat universeel teenwoordig is, met addisionele kettings soos NAT wat moontlik ondersteun word, afhangende van die vermoëns van die stelsel.
Input-ketting: Word gebruik om die gedrag van inkomende verbindinge te bestuur.
Forward-ketting: Word gebruik om inkomende verbindinge te hanteer wat nie bedoel is vir die plaaslike stelsel nie. Dit is tipies vir toestelle wat as roetingswerk optree, waar die ontvangste data bedoel is om na 'n ander bestemming gestuur te word. Hierdie ketting is hoofsaaklik relevant wanneer die stelsel betrokke is by roetering, NATing of soortgelyke aktiwiteite.
Output-ketting: Word toegewy aan die regulering van uitgaande verbindinge.
Hierdie kettings verseker die ordelike verwerking van netwerkverkeer, wat die spesifikasie van gedetailleerde reëls moontlik maak wat die vloei van data in, deur en uit 'n stelsel beheer.
# Delete all rulesiptables-F# List all rulesiptables-Liptables-S# Block IP addresses & portsiptables-IINPUT-sip1,ip2,ip3-jDROPiptables-IINPUT-ptcp--dport443-jDROPiptables-IINPUT-sip1,ip2-ptcp--dport443-jDROP# String based drop## Strings are case sensitive (pretty easy to bypass if you want to check an SQLi for example)iptables-IINPUT-ptcp--dport<port_listening>-mstring--algobm--string'<payload>'-jDROPiptables-IOUTPUT-ptcp--sport<port_listening>-mstring--algobm--string'CTF{'-jDROP## You can also check for the hex, base64 and double base64 of the expected CTF flag chars# Drop every input port except someiptables-PINPUTDROP# Default to dropiptables-IINPUT-ptcp--dport8000-jACCEPTiptables-IINPUT-ptcp--dport443-jACCEPT# Persist Iptables## Debian/Ubuntu:apt-getinstalliptables-persistentiptables-save>/etc/iptables/rules.v4ip6tables-save>/etc/iptables/rules.v6iptables-restore</etc/iptables/rules.v4##RHEL/CentOS:iptables-save>/etc/sysconfig/iptablesip6tables-save>/etc/sysconfig/ip6tablesiptables-restore</etc/sysconfig/iptables
Suricata
Installeer & Konfigurasie
# Installeer Suricatasudoapt-getinstallsuricata# Skep 'n nuwe konfigurasie lêersudocp/etc/suricata/suricata.yaml/etc/suricata/suricata.yaml.bak# Pas die konfigurasie lêer aansudonano/etc/suricata/suricata.yaml# Stel die volgende waardes in:-HOME_NET:jou_netwerk-EXTERNAL_NET:enige-RULES_DIR:/etc/suricata/rules-LOG_DIR:/var/log/suricata/# Stoor die veranderinge en sluit die lêer# Skep 'n nuwe reëls gidssudomkdir/etc/suricata/rules# Skep 'n nuwe reëls lêersudotouch/etc/suricata/rules/local.rules# Herlaai Suricata se konfigurasiesudosuricata-updateenable-sourceoisf/trafficidsudosuricata-updateupdate-sourcessudosuricata-update# Begin Suricatasudosuricata-c/etc/suricata/suricata.yaml-ijou_interface
Iptables
# Skep 'n nuwe iptables reëlsudoiptables-AOUTPUT-ptcp--dport80-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir HTTPSsudoiptables-AOUTPUT-ptcp--dport443-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir DNSsudoiptables-AOUTPUT-pudp--dport53-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir ICMPsudoiptables-AOUTPUT-picmp-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir SSHsudoiptables-AOUTPUT-ptcp--dport22-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir RDPsudoiptables-AOUTPUT-ptcp--dport3389-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir FTPsudoiptables-AOUTPUT-ptcp--dport21-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir Telnetsudoiptables-AOUTPUT-ptcp--dport23-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir SMTPsudoiptables-AOUTPUT-ptcp--dport25-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir POP3sudoiptables-AOUTPUT-ptcp--dport110-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IMAPsudoiptables-AOUTPUT-ptcp--dport143-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir SNMPsudoiptables-AOUTPUT-pudp--dport161-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir NTPsudoiptables-AOUTPUT-pudp--dport123-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir MySQLsudoiptables-AOUTPUT-ptcp--dport3306-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir PostgreSQLsudoiptables-AOUTPUT-ptcp--dport5432-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir MSSQLsudoiptables-AOUTPUT-ptcp--dport1433-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir Oraclesudoiptables-AOUTPUT-ptcp--dport1521-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir VNCsudoiptables-AOUTPUT-ptcp--dport5900-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir SMBsudoiptables-AOUTPUT-ptcp--dport445-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir LDAPsudoiptables-AOUTPUT-ptcp--dport389-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir FTPSsudoiptables-AOUTPUT-ptcp--dport990-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir SFTPsudoiptables-AOUTPUT-ptcp--dport22-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport6667-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir Rsyncsudoiptables-AOUTPUT-ptcp--dport873-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir DNSSECsudoiptables-AOUTPUT-ptcp--dport853-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir DHCPsudoiptables-AOUTPUT-pudp--dport67:68-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport194-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport6660:6669-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport7000-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport8000-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9000-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9001-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9009-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9010-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9020-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9030-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9040-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9050-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9060-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9070-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9080-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9090-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9100-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9110-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9120-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9130-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9140-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9150-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9160-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9170-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9180-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9190-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9200-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9210-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9220-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9230-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9240-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9250-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9260-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9270-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9280-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9290-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9300-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9310-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9320-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9330-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9340-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9350-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9360-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9370-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9380-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9390-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9400-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9410-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9420-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9430-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9440-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9450-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9460-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9470-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9480-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9490-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9500-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9510-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9520-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9530-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9540-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9550-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9560-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9570-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9580-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9590-jNFQUEUE--queue-num1# Skep 'n nuwe iptables reël vir IRCsudoiptables-AOUTPUT-ptcp--dport9600-jNFQUEUE--```bash# Install details from: https://suricata.readthedocs.io/en/suricata-6.0.0/install.html#install-binary-packages# Ubuntuadd-apt-repositoryppa:oisf/suricata-stableapt-getupdateapt-getinstallsuricata# Debianecho "deb http://http.debian.net/debian buster-backports main" > \/etc/apt/sources.list.d/backports.listapt-getupdateapt-getinstallsuricata-tbuster-backports# CentOSyuminstallepel-releaseyuminstallsuricata# Get rulessuricata-updatesuricata-updatelist-sources#List sources of the rulessuricata-updateenable-sourceet/open#Add et/open rulesetssuricata-update## To use the dowloaded rules update the following line in /etc/suricata/suricata.yamldefault-rule-path:/var/lib/suricata/rulesrule-files:-suricata.rules# Run## Add rules in /etc/suricata/rules/suricata.rulessystemctlsuricatastartsuricata-c/etc/suricata/suricata.yaml-ieth0# Reload rulessuricatasc-cruleset-reload-nonblocking## or set the follogin in /etc/suricata/suricata.yamldetect-engine:-rule-reload:true# Validate suricata configsuricata-T-c/etc/suricata/suricata.yaml-v# Configure suricata as IPs## Config drop to generate alerts## Search for the following lines in /etc/suricata/suricata.yaml and remove comments:-drop:alerts:yesflows:all## Forward all packages to the queue where suricata can act as IPSiptables-IINPUT-jNFQUEUEiptables-IOUTPUT-jNFQUEUE## Start suricata in IPS modesuricata-c/etc/suricata/suricata.yaml-q0### or modify the service config file as:systemctleditsuricata.service[Service]ExecStart=ExecStart=/usr/bin/suricata-c/etc/suricata/suricata.yaml--pidfile/run/suricata.pid-q0-vvvType=simplesystemctldaemon-reload
Daar is honderde opsies beskikbaar in Suricata om te soek na die spesifieke pakkie waarna jy soek, hier sal genoem word as iets interessant gevind word. Kyk na die dokumentasie vir meer inligting!
# Meta Keywordsmsg:"description"; #Set a description to the rulesid:123#Set a unique ID to the rulerev:1#Rule revision numberconfigclassification:not-suspicious,NotSuspiciousTraffic,3#Classifyreference:url,www.info.com#Referencepriority:1; #Set a prioritymetadata:keyvalue,keyvalue; #Extra metadata# Filter by geolocationgeoip:src,RU;# ICMP type & Codeitype:<10;icode:0# Filter by stringcontent:"something"content:|616161|#Hex: AAAcontent:"http|3A|//"#Mix string and hexcontent:"abc"; nocase; #Case insensitiverejecttcpanyany ->anyany (msg: "php-rce"; content:"eval"; nocase; metadata:tagphp-rce; sid:101; rev:1;)# Replaces string## Content and replace string must have the same lengthcontent:"abc"; replace:"def"alerttcpanyany ->anyany (msg: "flag replace"; content:"CTF{a6st"; replace:"CTF{u798"; nocase; sid:100; rev:1;)## The replace works in both input and output packets## But it only modifies the first match# Filter by regexpcre:"/<regex>/opts"pcre:"/NICK .*USA.*[0-9]{3,}/i"droptcpanyany ->anyany (msg:"regex"; pcre:"/CTF\{[\w]{3}/i"; sid:10001;)# Other examples## Drop by portdroptcpanyany ->any8000 (msg:"8000 port"; sid:1000;)
Werk jy in 'n cybersecurity-maatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? Of wil jy toegang hê tot die nuutste weergawe van die PEASS of laai HackTricks in PDF af? Kyk na die SUBSCRIPTION PLANS!