[Postfixbuch-users] OT: SSH-zugang nach 3 Fehler f. die IPSperren

Patrick Ben Koetter p at state-of-mind.de
Do Sep 21 14:44:18 CEST 2006


* Olaf Zaplinski <o.zaplinski at broadnet.de>:
> boris blaha-ysker wrote:
> > das recent modul von iptabels kann das ganz gut
> > paramter sind wieiviel versuche (hitcount)
> > in welcher zeitpanne --seconds
> > 
> > 
> > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> > --name SSH -j ACCEPT
> > iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60
> > --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
> > iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60
> >  --hitcount 3 --rttl --name SSH -j DROP
> 
> Sehr schoen, danke fuer den Tip! Ich habe das bei mir gleich mal eingesetzt, 
> und zwar anders herum: beim 1. Versuch gibt es ein "connection refused", 
> erst beim 2. Versuch innerhalb von 5 Sekunden lasse ich ssh zu. So bleibt 
> Port 22 fuer Portscanner unsichtbar, denke ich.
> 
> Und jetzt meine Idee: wenn ich dasselbe auf Port 25 machen wuerde - haette 
> ich dann nicht einen Greylist-Effekt? So etwa: 1. Versuch wird abgewiesen, 
> danach hat der Senderhost 4 Stunden Zeit, sich nochmals zu melden.

Idee funktioniert nicht.

Der mailclient weiß nicht, dass connection refused ein temporärer Fehler ist
und wird die Mail ggf. gleich bouncen.

Mit greylisting ist das anders. Da wird explizit "temporärer Fehler" gesagt
und der Client darf noch nicht bouncen, weil er es laut RFC noch eine Weile
probieren muss.

p at rick

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users