Marco Maske <lists-mm@netcologne.de> (Mo 30 Nov 2020 23:27:11 CET):
> SSH macht iptables mit 2 Zeilen zu: (iptables-persistent)
>
> Ausschnitt aus meinem tor-relay-bootstrap script:
> ## Drop incoming connections which make more than 4 connection attempts upon port 22 within ten minutes
> ## To list these damned IP's: 'nano /proc/net/xt_recent/ssh' or
> ## 'cat /proc/net/xt_recent/ssh > recent-ssh.txt'
> -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set
> -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 600 --hitcount 4 -j DROP
> ## allow incoming SSH, only on one IP
> -A INPUT -p tcp -d 1st.ser.ver.ip --dport 22 -j ACCEPT
`iptables -m hashlimit` tut auch auch einen guten Job, nicht sogar das
gleich, was Du oben hast?
So aus der Erinnerung, ohne es jetzt überprüft zu haben als Anregung für
eigene Experimente:
iptables … -m state --state ESTABLISHED,RELATED -j ACCEPT
…
iptables … -p tcp \
-m multiport --ports 22,2222 \
-m hashlimit --hashlimit-name ssh \
--hashlimit-mode srcip,dstport \
--hashlimit-burst 5 \
--hashlimit-upto 3/minute -j ACCEPT
…
iptables -j REJECT
Aber diese ganzen Ratelimit/Hashlimit/Persistent Lösungen gehen halt nur
mit Diensten, die für gewöhnlich nicht oft in kurzer Zeit kontaktiert
werden. IMAP wäre ein Kandidat, der mit obigen Ansätzen Probleme hätte.
Oder Ansible über SSH, wenn da nicht zufällig ControlPersist verwendet
wird.
Für solche Dinge also wie zu viele falsche Anmeldungen hilft vermutlich
nur der Ansatz von F2B.
--
Heiko
Attachment:
signature.asc
Description: PGP signature