[Postfixbuch-users] OT: Firewallalternativen
Helmut Hullen
Hullen at t-online.de
Sa Jun 22 16:21:00 CEST 2013
Hallo, Werner,
Du meintest am 22.06.13:
>> Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von
>> Script-Kiddies kommen, einen Abschnitt in der
>> "iptables"-Konfiguration:
>>
>>
>> # ----------------- Skript-Teil ein -------------------
>>
>> WAN=ppp+ eth1
>> IPTABLES_BIN=/usr/sbin/iptables
>> # diese beiden Variablen sind anzupassen
>>
>> for Interf in $WAN; do
>> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state
>> NEW \ -m recent --set --name SSH
>> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state
>> NEW \ -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name
>> SSH \ -j REJECT --reject-with tcp-reset
>> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state
>> NEW \ -j ACCEPT
>> done
>>
>> # Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
>> # pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt
>> Skript-Kiddies # "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
>> # de.comp.os.unix.networking.misc
>> # siehe auch
>> # http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetz
>> en--/artikel/142155/3
>>
>> # ----------------- Skript-Teil aus -------------------
[...]
>> Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa
>> 3 bsi 4 abgewimmelte Versuche.
> Für sowas gibt's fail2ban :)
"fail2ban" zu konfigurieren scheint ein Text-Adventure zu sein. Das
obige Skript erfüllt den Job brav, und es erfüllt ihn früh, nicht erst
auf Basis der Logdateien.
Viele Gruesse!
Helmut
Mehr Informationen über die Mailingliste Postfixbuch-users