Re: SSH
Chris Cohen schrieb:
> Passt vielleicht nicht ganz hierher, aber ich nutze auf unserer Firewall etwas
> wie:
> table <scanners> persist
> block in quick on $ext_if inet proto tcp from <scanners> to any port ssh
> pass in quick on $ext_if inet proto tcp from !<scanners> to any port ssh \
> state (max-src-conn-rate 3/30,overload <scanners> flush global)
[...]
> Das geht mit IPTables bestimmt auch(?).
Von unten nach oben lesen - dann wird die Regel klar:
# Alle gemerkten Pakete mit mehr als 4/Min. wegwerfen
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 4 -j DROP
# Alle gemerkten Pakete mit mehr als 4/min. loggen.
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 4 -j LOG \
--log-prefix "SSH_BRUTE_FORCE "
# Alle Pakete auf 22/tcp markieren
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW \
-m recent --set
Mehr als 4 x SYN pro Minute auf P22 braucht's im Normalfall auf einem
kleinen Wuschelserver draussen nicht.
Benötigt aber WIMRE einen Kernel > 2.4.27 (RECENT_MATCH)
t++
Reply to:
- Follow-Ups:
- Re: SSH
- From: Paul Muster <exp-311207@news.muster.dyndns.info>
- References:
- SSH
- From: "Ronny Wagner" <r.wagner@licoho.de>
- Re: SSH
- From: Mathias Brodala <info@noctus.net>
- Re: SSH
- From: Matthias Haegele <mhaegele@linuxrocks.dyndns.org>
- Re: SSH
- From: Chris Cohen <kildau-ml@gmx.de>