Re: iptables: REJECT loggen
Am Montag, 10. April 2006 23:03 schrieb Andreas Brandl:
> Hallo Liste,
>
> ich hab mir ein Script geschrieben, dass /var/log/auth.log checkt
> und ab dem Xten fehlgeschlagenen SSH-Login pro Tag die
> entsprechende IP fuer einen Tag via iptables sperrt (REJECT).
>
> Jetzt wuerd ich allerdings trotzdem gerne die weiteren Versuche
> loggen - evtl. um ggf. die entsprechenden ABUSE Stellen informieren
> zu koennen.
du kannst mit iptables eine Regel definieren, die grundsätzlich
ssh-Verbindungsaufbauten mitloggt und sicherstellen, dass die vor
deiner (vom Skript eingestellten) REJECT Regel dran kommt, oder du
kannst dein Skript zusätzlich eine individuelle LOG Regel _vor_ der
REJECT Regel definieren lassen. In jedem Fall würde ich die vom
Skript generierten Regeln in eine eigene Kette stellen, die du dann
an einer festen Stelle in deine Inbound-Strategie einbindest, so
schützt du dich vor bösen Überraschungen.
--
Gruß Frank
Reply to: