Вопрос:

iptables SSH защита от перебора

ssh firewall iptables

1086 просмотра

1 ответ

13 Репутация автора

У меня есть брандмауэр iptables с установленной по умолчанию политикой INPUT DROP. Я использую это для замедления попыток перебора SSH. Проблема в том, что если я оставлю последнюю строку, предыдущие правила не сработают и весь трафик SSH будет принят. Если я пропущу это, пакеты с плохих IP-адресов будут отброшены, но я также не могу подключиться к SSH самостоятельно. Насколько я понимаю, iptables является последовательным, поэтому он должен достигать последнего правила, только если он не вызвал ни одно из предыдущих правил. В последней строке я пытаюсь сказать: «Если ваш IP отсутствует в списке SSH_BRUTEFORCE, продолжайте. Что я делаю не так?

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -N SSHSCAN

iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m state --state NEW -j SSHSCAN

iptables -A SSHSCAN -m recent --set --name SSH_BRUTEFORCE --rsource
iptables -A SSHSCAN -m recent --update --seconds 360 --hitcount 10 --name SSH_BRUTEFORCE --rsource -j LOG --log-prefix "Anti SSH-Bruteforce: " --log-level 2
iptables -A SSHSCAN -m recent --update --seconds 360 --hitcount 10 --name SSH_BRUTEFORCE --rsource -j DROP
iptables -A SSHSCAN -m recent --rcheck --name SSH_BRUTEFORCE -j ACCEPT
Автор: c0mpute Источник Размещён: 22.08.2016 08:49

Ответы (1)


0 плюса

117 Репутация автора

Решение

Вы можете начать с ограничения скорости, например:

/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set /usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Если вы хотите записать капли, то

/sbin/iptables -N LOGDROP

/sbin/iptables -A LOGDROP -j LOG

/sbin/iptables -A LOGDROP -j DROP

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j LOGDROP

источник здесь https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/

Также я бы порекомендовал перенести порт по умолчанию на что-то другое, и, как @larsks, предложил запретить вход в систему с паролем и принимать только ключи.

Автор: sebastienvg Размещён: 22.08.2016 09:18
Вопросы из категории :
32x32