Re: libssh-Bruteforcer in IPTABLES Chain bannen

To: debian-user-german@lists.debian.org
Subject: Re: libssh-Bruteforcer in IPTABLES Chain bannen
From: Thomas Antepoth <debian@antepoth.de>
Date: Wed, 30 Mar 2005 21:55:54 +0200 (CEST)
Message-id: <[🔎] Pine.LNX.4.61.0503302135370.11111@sofa.so.antepoth.de>
In-reply-to: <[🔎] m3ll85dje9.fsf@caruso.quasi.local>
References: <[🔎] Pine.LNX.4.61.0503301848590.11111@sofa.so.antepoth.de> <[🔎] 20050330184006.GB22916@london087.server4you.de> <[🔎] Pine.LNX.4.61.0503302051040.11111@sofa.so.antepoth.de> <[🔎] m3ll85dje9.fsf@caruso.quasi.local>

On Wed, 30 Mar 2005, Bruno Hertz wrote:

> Vielleicht lohnt auch mal ein Blick auf http://blog.andrew.net.au/2005/02/17

Ausgezeichnet! Danke noch!

Also frisch von der Seite gestohlen und nachdokumentiert:

== cut ==
# Whitelistenfüllen findet so statt:
iptables -N SSH_WHITELIST
iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove \
--name SSH -j ACCEPT

# Es wird eine Regel für neue Connections erstellt, die für 
# Port 22/tcp gilt:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set \
--name SSH

# Anschließend wird eine Whitelist ausgewertet, und wenn dort ein Hit
# stattfindet, wird die Bearbeitung beendet und die Connection zugelassen.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST

# Der hier ist nifty, dient aber so wie ich sehe nur zum Loggen von 
# dem Event, daß ein ssh-Brute-Forcer gerade an der Arbeit war.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j ULOG --ulog-prefix SSH_brute_force

# Der hier dropped dann die Connection, wenn mehr als 4/Minute
# stattfinden. Was unzweifelhaft bei einer libssh-Attacke der Fall ist.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

== cut ==

Soweit verstanden. Aber diese Module sind sicherlich nicht in:

ii  iptables              1.2.11-8

enthalten, oder?


	t++

Reply to:

Follow-Ups:
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: Patrick Cornelißen <cornelis@p-c-software.de>
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: "Bruno Hertz" <brrhtz@yahoo.de>
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: Stefan Muthers <grau@tastensuppe.de>
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: Michelle Konzack <linux4michelle@freenet.de>

References:
- libssh-Bruteforcer in IPTABLES Chain bannen
  - From: Thomas Antepoth <debian@antepoth.de>
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: Peter Wiersig <peter@friesenpeter.de>
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: Thomas Antepoth <debian@antepoth.de>
- Re: libssh-Bruteforcer in IPTABLES Chain bannen
  - From: "Bruno Hertz" <brrhtz@yahoo.de>

Prev by Date: Re: Rechner töten
Next by Date: Re: Seltsames Verhalten der Konsole (und Gnome) mit dt. Umlauten
Previous by thread: Re: libssh-Bruteforcer in IPTABLES Chain bannen
Next by thread: Re: libssh-Bruteforcer in IPTABLES Chain bannen
Index(es):
- Date
- Thread