Re: Delay nach erfolglosem login
am Mon, dem 22.11.2004, um 17:56:32 +0100 mailte Richard Mittendorfer folgendes:
> Am 2004-11-22 08:21:53 schrieb(en) Patrick Cornelißen:
> >Richard Mittendorfer wrote:
> >>iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
> >
> >iptables -m limit --limit 30/h --limit-burst 2 -p 22 --protocol tcp
> >--s ! 131.220.156.31
> >
> >Habe ich das richtig verstanden?
> >Der gewünschte Effekt ist, daß eingehende tcp Verbindungen auf Port
> >22(ssh) limitiert werden. Das Maximum sind 30 Verbindungen pro
> >Stunde, ausser sie kommen von meiner IP.
>
> ich hab das eben erfolglos versucht, scheint als waehre das unfug.
Ohne es probiert zu haben: es ist Unfug, weil es maximal Sinn machen
würde, das Limit auf SYN-Pakete zu setzen. Mit obiger Regel werden
Verbindungen generell kaputt gemacht. Und Sicherheit gewinnt man _SO_
auch nicht.
>
> --source-rng, man iptables.
> aber wenn eure erlaubten zugriffe von einer dynamischen ip kommen, kann
> man mit der netmask entsprechende bereiche definieren.
Damit öffnet man aber auch Angreifern via DOS die Tür. LIMIT als
Security-Regel zu nehmen ist IMHO einfach nur krank.
>
> ich denk' das logfile verwenden und daraus eine rule fuer iptables
> (oder hosts.allow/xinetd) erstellen ist kein schlechter weg. einen
Wenn ich weiß, daß Du das machst, mache ich spielend einfach Deinen
Zugang kaputt. Okay, ich bin noch nicht drin, aber: Du auch nicht.
Immerhin.
Andreas, sinnvolle andere Wege genannt habend.
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Reply to: