Re: Shorewall duda ban automatico

[Erick Ocrospoma <zipper1790@gmail.com>]

2016-09-30 18:40 GMT-05:00 OddieX <oddiex@gmail.com>:

El día 30 de septiembre de 2016, 18:40, del tonos
<deltonos77@gmail.com> escribió:

> Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con
> fail2ban en tu debian.
> Saludos
>
> El 30 de septiembre de 2016, 16:29, Epsilon Minus<theepsilonminus@gmail.com>
> escribió:
>>
>> Estimados,
>>
>> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de
>> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces.
>>
>> Hace un rato que estoy dando vueltas con shorewall como hacerlo con
>> las actions pero no logro hacerlo.
>>
>> Estoy dandole vueltas a la documentación de Shorewall pero no
>> encuentro la solución. Seguí un poco el ejemplo que da abajo:
>>
>> http://shorewall.net/Events.html
>>
>> Pero me devuelve: WARNING: Log Prefix shortened to
>> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST
>>
>> también estuve leyendo la opción de AutoBL pero no comprendo del todo que
>> hacer.
>>
>> Saludos
>>
>

Si tal cual, la mejor que podes hacer es usar fail2ban, aunque
deberias ver a que servicio te estan atacando para analizar la posible
solucion.

​Este. Yo he usado fail2ban, si bien es muy bueno, funciona casi magicamente.

El tema es cuando los hosts atacantes son super reincidentes, por defecto fail2ban

banea las IPs por 10 min, y luego las libera. Puedes aumentar este intervalo, a que sea

por minutos, horas o dias (esto ultimo es mejor, esas IPs chinas y rusas son muy reincidentes).

Personalmente prefiero usar tcpwrappers (hosts.deny), ya que asi quedan bloqueadas 

indefinidamente, y puede sobrevivir al reboot tambien. 

--

Erick.

-------------------------------------------
IRC     :   zerick
Blog    : http://zerick.me
About :  http://about.me/zerick
Linux User ID :  549567