[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SSH-BruteForce-Attacken

On Mon, Aug 22, 2005 at 10:40:52AM +0200, Felix M. Palmen wrote:

Hi Felix,

> Mit dem recent Modul von netfilter ist das in etwa möglich, siehe die
> NOBF-Chain in meiner netfilter-Konfiguration unter
> <http://www.akk.org/~zorg/config/iptables>. Diese Chain wird für alle
> neuen Pakete an den SSH-Port angesprungen. Man beachte aber, dass
> iptables hier erwünschte Zugriffe nicht von denen der Scanner
> unterscheiden kann, 'hitcount' sollte also hinreichend groß bzw
> 'seconds' hinreichend groß sein um autorisierte Nutzer nicht zu stören.

ich habe mir das Script mal angeschaut, eigentlich ist es mit den
folgenden Zeilen ja getan, oder?

    # NOBF (Chain für BF-geschützte Dienste):

    iptables -N NOBF
    iptables -N BFLOG
    iptables -A NOBF -m recent --rcheck --name 'BF' --seconds 120 \
        --hitcount 4 --rttl -j BFLOG
    iptables -A BFLOG -m recent --update --name 'BFLOG' --seconds 30 -j RETURN
    iptables -A BFLOG -m recent --set --name 'BFLOG' \
        -j LOG --log-prefix 'Bruteforce: '
    iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \
        --hitcount 4 --rttl -j LREJECT
    iptables -A NOBF -m recent --set --name 'BF' -j ACCEPT

Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht.
Könntest du das kurz umreissen?

Dank und Gruß Stephan


-- 
http://my.opera.com/schmiste/affiliate/
Reply to: