Proteger el router WRT54XX contra ataques másivos.

Sintactic Brain Registrado: Apr 30, 2005 Mensajes: 20058

Los ataques másivos tipo DoS (Denial of Service) o de fuerza bruta pueden bloquear la conexión de nuestro router. Este script actua cerrando los puertos más habituales ante este tipo de acciones.
Se instala en la parte de scripts del router (mejor en la parte del cortafuegos). Para el firmware Tomato en Administration/scripts/firewall.

Explicación del script.

Este primer script es para el servicio de ssh. ante 4 peticiones de entrada durante un periodo de 90 segundos o inferior con un password no correcto cerrará el servicio (más bien lo que hace es envíar el request a un "agujero negro" Sonrisa

y dejará de responder).

WANIP=$(nvram get wan_ipaddr)
iptables -t nat -A PREROUTING -p tcp -d $WANIP --dport 22 -j DNAT --to 192.168.1.1:22
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH_LIMIT --rsource
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 4 --name SSH_LIMIT --rsource -j DROP
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT

Nota: La IP que menciono es la del router.

Ahora vamos a hacer lo mismo pero esta vez con el puerto 80 (HTTP).

WANIP=$(nvram get wan_ipaddr)
iptables -t nat -A PREROUTING -p tcp -d $WANIP --dport 80 -j DNAT --to 192.168.1.1:80
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 80 -m state --state NEW -m recent --set --name HTTP_LIMIT --rsource
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 90 --hitcount 4 --name HTTP_LIMIT --rsource -j DROP
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT

Os será útil si hay pesados chapuceros intentando entrar en vuestro router. Guiño

Saludos !!

Edito: Resultados de una prueba de ataque (Brute force con el script instalado).. a los 4 intentos ha enviado los paquetes a la papelera, después lo ha rechazado y por último ha cerrado el interface.

Apr 25 00:04:36 SPARROW user.warn kernel: ACCEPT IN=ppp0 OUT=br0 SRC=xx.xx.xx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=16494 DF PROTO=TCP SPT=4226 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:37 SPARROW user.warn kernel: ACCEPT IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=16878 DF PROTO=TCP SPT=4767 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:38 SPARROW user.warn kernel: ACCEPT IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=17294 DF PROTO=TCP SPT=3413 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:39 SPARROW user.warn kernel: ACCEPT IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=17652 DF PROTO=TCP SPT=1248 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:40 SPARROW user.warn kernel: ACCEPT IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=18064 DF PROTO=TCP SPT=1216 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:41 SPARROW user.warn kernel: DROP IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=18435 DF PROTO=TCP SPT=3957 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:42 SPARROW user.warn kernel: REJECT IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=18876 DF PROTO=TCP SPT=1930 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Apr 25 00:04:43 SPARROW user.warn kernel: CLOSE IN=ppp0 OUT=br0 SRC=xx.xx.xxx.xx DST=10.10.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=249 ID=19262 DF PROTO=TCP SPT=1832 DPT=80 WINDOW=60984 RES=0x00 SYN URGP=0 OPT (020405AC01010402)

Sonrisa

, Prueba superada !!!! (Gracias a lampi por atacarme Sonrisa

....)