Re: libssh-Bruteforcer in IPTABLES Chain bannen
On Wed, Mar 30, 2005 at 11:03:38PM +0200, Dirk Salva wrote:
>
> $IPTABLES -A INPUT -m dstlimit -p TCP --dport ssh --dstlimit 1/min --dstlimit-mode srcip-dstip -j ACCEPT
>
> Und wenn ich vor dem -j noch --dstlimit-name wie verlangt einfüge,
> fehlt ihm ein Name. Gebe ich als Name ssh an (--dstlimit-name ssh),
> so meckert er:
> Starting IP filtering...
> iptables: No chain/target/match by that name
Falls das dabei bleibt, mal nen -v mitgeben.
> Was wäre die richtige Angabe?
-tcp-flags SYN,ACK,FIN,RST SYN
> Wieso geht das da oben nicht, was mache ich falsch?
Ich hab's zu fluechtig aufgeschrieben.
> Brauche ich für ssh überhaupt UDP?
Nein, ssh ist nur tcp.
Ganz vielleicht ist auch die tcp-flags Geschichte nicht soo gut.
Besser waere wohl ein "-m state --state NEW" und meine Regel dann
in ne eigene chain, die vom state angesprungen wird.
--
Peter
Reply to: