Hallo Bruno, * Bruno Hertz <brrhtz@yahoo.de> [20050330 21:27]: > Vielleicht lohnt auch mal ein Blick auf http://blog.andrew.net.au/2005/02/17 Das ist IMHO fehlerhaft, --mark sollte als letztes gesetzt werden, wenn keine Regel angeschlagen hat. Meine Lösung sieht im Moment so aus (und ist getestet): | iptables -N NOBF | iptables -N BFLOG | iptables -A NOBF -m recent --rcheck --name 'BF' --seconds 120 \ | --hitcount 4 --rttl -j BFLOG | iptables -A BFLOG -m recent --update --name 'BFLOG' | --seconds 30 -j RETURN | iptables -A BFLOG -m recent --set --name 'BFLOG' \ | -j LOG --log-prefix 'Bruteforce: ' | iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \ | --hitcount 4 --rttl -j LREJECT | iptables -A NOBF -m recent --set --name 'BF' -j ACCEPT NOBF wird dabei von Paketen mit --state NEW an Port 22 angesprungen. LREJECT ist eine Chain, die je nach Pakettyp sauber REJECTed oder als Fallback DROPpt. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ | | \ / Campaign Against | fmp@palmen.homeip.net encrypted mail welcome | | X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
Attachment:
signature.asc
Description: Digital signature