iptables / sshdfilter - keine DROP rule erstellt
Hallo zusammen,
mal was für die iptables-Leute:
Ich habe es heute sshdfilter[1] installiert und die Log-Datei sagt zwar
auch ordnungsgemäß (hier im debug-Mode),
--------8<--------
Dec 15 16:41:02 mail sshdfilt[4931]: sshdfilter 1.4.2 starting up,
running sshd proper
Dec 15 16:41:02 mail sshdfilt[4931]: repurgetime=7200
Dec 15 16:41:02 mail sshdfilt[4931]: maxblocktime=259200
Dec 15 16:41:02 mail sshdfilt[4931]: maxchances=6
Dec 15 16:41:02 mail sshdfilt[4931]: interface=eth0
Dec 15 16:41:02 mail sshdfilt[4931]: sshdpath=/usr/sbin/sshd
Dec 15 16:41:02 mail sshdfilt[4931]: ip6toip4=1
Dec 15 16:41:02 mail sshdfilt[4931]: iptables command=iptables
Dec 15 16:41:02 mail sshdfilt[4931]: debug=1
Dec 15 16:41:02 mail sshdfilt[4931]: sshd args=
Dec 15 16:41:03 mail sshdfilt[4931]: Flushing SSHD chain
Dec 15 16:41:03 mail sshd[4932]: Server listening on :: port 10622.
Dec 15 16:41:15 mail sshdfilt[4931]: INVALID: user=blubb,
ip=80.156.155.80
Dec 15 16:41:15 mail sshdfilt[4931]: Illegal user name, instant block of
80.156.155.80
Dec 15 16:41:15 mail sshdfilt[4931]: pre mail command is
$mailcommand="mail -s \"sshdfilter event for $ip, $event\"
root\@mytestdomain.net"
Dec 15 16:41:15 mail sshdfilt[4931]: post mail command is mail -s
"sshdfilter event for 80.156.155.80, Illegal user name, instant block"
root@mytestdomain.net
-------->8--------
wenn ich es allerdings danach direkt wieder probiere...
--------8<--------
Dec 15 16:41:15 mail sshd[4932]: Illegal user blubb from
::ffff:80.156.155.80
Dec 15 16:41:15 mail sshd[4932]: input_userauth_request: illegal user
blubb
Dec 15 16:41:15 mail sshd[4932]: Failed none for illegal user blubb from
::ffff:80.156.155.80 port 32862 ssh2
-------->8--------
... wird er nicht direkt abgewiesen, sondern sshd prüft noch den User,
obwohl er ja geblockt werden sollte. Laut INSTALL im sshdfilter-Paket
sollte eine DROP-Rule vorhanden sein. Ist sie aber nicht:
--------8<--------
mail:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
SSHD tcp -- anywhere anywhere tcp
dpt:10622
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain SSHD (1 references)
target prot opt source destination
-------->8--------
Ich habe nur iptables installiert, also kein Programm was darauf
aufsetzt. Folglich werden im Start-Skript nur diese beiden Einträge an
iptables übergeben:
--------8<--------
iptables -N SSHD
iptables -A INPUT -p tcp -m tcp --dport 10622 -j SSHD
-------->8--------
Fehlt da etwas? Muss iptables noch Grundeinstellungen mitbekommen oder
sollte das eigentlich als reichen?
Die INSTALL sagt dazu nur:
--------8<--------
This is only an example, I've no idea how you set up your iptables.
Generally yo u'll have a line that
ACCEPTS ssh(port 22), and the above should go on the line before.
-------->8--------
Auf der Kiste läuft sonst ja kein iptables, alle Zugänge und Regeln
werden ja von der Haupt-Firewall geregelt.
Aber dennoch hab ich mal eine zusätzliche ACCEPT-Rule für ssh
eingefügt, das hat aber auch nichts gebracht.
Google findet leider keine konkreten iptables-Beispiele für sshdfilter.
Irgendwelche Ideen, was fehlt?
Tnx.
[1] http://www.csc.liv.ac.uk/~greg/sshdfilter/
--
LG,
Ace
Reply to: