[Postfixbuch-users] OT: Firewallalternativen

[Christian Boltz]

Hallo Helmut, hallo Leute,

Am Samstag, 22. Juni 2013 schrieb Helmut Hullen:
> Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von
> Script-Kiddies kommen, einen Abschnitt in der
> "iptables"-Konfiguration:

> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state
> NEW \ -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH
> \ -j REJECT --reject-with tcp-reset

Das --rttl ist unschön - das recent-Matching berücksichtigt dann nämlich 
auch die TTL der Pakete, was die Regel ziemlich wirkungslos macht.
Das kann dann durchaus dazu führen, dass von 1000 Versuchen von einer IP 
nur einer geblockt wird (habe ich im Selbstversuch rausgefunden ;-)

Allerdings gibt es dieses Problem erst in halbwegs aktuellen Kerneln 
(mindestens ab 3.1.10). Ältere Kernel-Versionen haben --rttl ignoriert, 
was strenggenommen ein Bug war.


Gruß

Christian Boltz
-- 
Please don't ruin a perfectly good argument with facts!
[James Knott in opensuse-factory]