Re: nftables vs fail2ban
Maksim Dmitrichenko <dmitrmax@gmail.com> wrote:
> [-- text/plain, encoding base64, charset: UTF-8, 25 lines --]
> пн, 21 нояб. 2022 г. в 18:53, Stanislav Vlasov <stanislav.v.v@gmail.com>:
> > Блокировка через nftables отлично заблокирует вполне легитимный
> > параллельный запуск чего-нибудь из скриптов. Это больше ограничение по
> > флуду и неприменимо, если есть вариант, что потребуется запускать
> > что-то типа for i in ...; do ssh $host "$command $i"; done
> >
> Вроде бы не мой случай. Но это какое-то зло в любом случае, если там может
> быть один хост в нескольких командах.
Он резко может стать твоим, если ты быстро зашел-вышел на хост несколько раз.
Но для этого, можно свои сеточки отдельно пускать, мимо резалки. Только этот
метод другую проблему не решает - медленный подбор паролей, когда в рамках
одного соединения (ещё и с задержкой) подбираются пароли до лимита. А
следующее соединение с этого адреса будет через 5 минут - ботнет большой,
адресов много.
> > fail2ban же проанализирует логи и забанит только тех, кто пытается
> > подобрать пароль.
> То есть fail2ban занимается парсингом логов и зависит от того, чтобы тот
> или иной сервис не дай бог не изменил формат логов? Какое-то весьма себе
sshguard занимается тем-же. Да и любой блокировщие будет заниматься
парсингом логов.
> костыльное решение, которое ко всему прочему обязывает вести локальный, а
> не remote, лог.
ты что, это fail2ban... там модулей на любой чих понаписанно. Можно
поставить на сервер с логами, а рулить фарволом в совершенно другом месте.
Можно поставить mysql и сделать через это "централизованную базу"
блокировок.
А так, для своих задач демон пишется на perl за 2 часа с перерывами на кофе.
Reply to: