Marco Maske <lists-mm@netcologne.de> (Mo 30 Nov 2020 23:27:11 CET): > SSH macht iptables mit 2 Zeilen zu: (iptables-persistent) > > Ausschnitt aus meinem tor-relay-bootstrap script: > ## Drop incoming connections which make more than 4 connection attempts upon port 22 within ten minutes > ## To list these damned IP's: 'nano /proc/net/xt_recent/ssh' or > ## 'cat /proc/net/xt_recent/ssh > recent-ssh.txt' > -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set > -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 600 --hitcount 4 -j DROP > ## allow incoming SSH, only on one IP > -A INPUT -p tcp -d 1st.ser.ver.ip --dport 22 -j ACCEPT `iptables -m hashlimit` tut auch auch einen guten Job, nicht sogar das gleich, was Du oben hast? So aus der Erinnerung, ohne es jetzt überprüft zu haben als Anregung für eigene Experimente: iptables … -m state --state ESTABLISHED,RELATED -j ACCEPT … iptables … -p tcp \ -m multiport --ports 22,2222 \ -m hashlimit --hashlimit-name ssh \ --hashlimit-mode srcip,dstport \ --hashlimit-burst 5 \ --hashlimit-upto 3/minute -j ACCEPT … iptables -j REJECT Aber diese ganzen Ratelimit/Hashlimit/Persistent Lösungen gehen halt nur mit Diensten, die für gewöhnlich nicht oft in kurzer Zeit kontaktiert werden. IMAP wäre ein Kandidat, der mit obigen Ansätzen Probleme hätte. Oder Ansible über SSH, wenn da nicht zufällig ControlPersist verwendet wird. Für solche Dinge also wie zu viele falsche Anmeldungen hilft vermutlich nur der Ansatz von F2B. -- Heiko
Attachment:
signature.asc
Description: PGP signature