Blokace opakovanych pokusu o pripojeni?
David Hrbáč
hrbac.conf na seznam.cz
Středa Březen 1 14:20:00 CET 2006
Jan Houstek napsal(a):
> No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave.
> Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
> sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
> protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
> rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
> vsech paketu zpet odesilateli 100x atp.).
>
> Ciste pomoci iptables by se mozna pomoci kombinace nejakych chytrych
> modulu (limit, recent, connlimit) dalo zaridit neco ve stylu "pokud je z
> jedne IP adresy vic nez N paketu na 22/tcp s nastavenym SYN flagem za
> poslednich M minut, nepoustej z teto adresy zadne dalsi. Ale z praktickeho
> hlediska se mi zda efektnejsi to resit az nekde vys (primo v sshd,
> v tcp_wrappers apod.).
>
> -- Honza Houstek
Ahoj,
jedna z možností:
http://www.redhat.com/archives/fedora-test-list/2005-August/msg00061.html
$IPTABLES -A INPUT -m hashlimit -m tcp -p tcp --dport 22 --hashlimit
1/min --hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW
-j ACCEPT
další možnost je (jednoduchý portknocking):
-A INPUT -p tcp --dport #SECRETPORT1# -m recent --set
-A INPUT -p tcp --dport ssh -m state --state NEW -m recent --update
--seconds #SECONDS# -j ACCEPT
eventuelně rozšířit o
-A INPUT -p tcp --dport #SECRETPORT2# -m recent --remove
apod.
David hrbáč
Další informace o konferenci Linux