A questo punto io andrei verso il classico fail2ban! http://marksallee.wordpress.com/2010/02/09/block-ips-real-time-with-fail2ban/
P.s. se non risali all'ip però è dura bloccare qualcosa, dovresti cercare di sniffare il traffico o trovare in qualche modo l'ip dai log Just my 0.02 $ Gianfranco ----- Messaggio originale ----- > Da: Nicola Scattolin <n...@ser-tec.org> > A: Gianfranco Costamagna <costamagnagianfra...@yahoo.it> > Cc: > Inviato: Venerdì 5 Aprile 2013 14:48 > Oggetto: Re: Bloccare host > > Uso pure ftp, gli attacchi sono di due massimo tre tentativi ogni > due/tre ore, la tua soluzione potrebbe anche andare bene. > ho anche dimenticato di dire che non riesco a risalire all'ip di > welchome-belsugului-fo.b.astral.ro > Il 05/04/2013 14:16, Gianfranco Costamagna ha scritto: >> ciao Nicola. >> >> Partendo dal fatto che non hai scritto quale programma/demone ftp usi >> secondo me la soluzione facile facile potrebbe essere di usare la >> blacklist del tuo programma ftp. >> >> Supponendo un proftpd puoi fare come descritto in questa guida >> http://www.proftpd.org/docs/howto/ConnectionACLs.html >> >> Ovviamente i pacchetti vengono scartati a livello applicativo, >> sicuramente una soluzione non efficiente a livello di rete e overhead, >> ma facile facile da implementare se sono attacchi che non ti occupano >> troppa banda e supponendo che finiranno tra ore/giorni al massimo. >> >> Se invece si ripetessero allora io andrei ad inserire router/firewall >> intermedi per bloccare i pacchetti prima del server oppure andrei a >> definire la soluzione iptable di cui parlavi tu. >> >> C'è un particolare motivo per iptable oppure può andare bene anche la >> mia soluzione? >> >> Gianfranco >> >> > ------------------------------------------------------------------------ >> *Da:* Nicola Scattolin <n...@ser-tec.org> >> *A:* debian-italian@lists.debian.org >> *Inviato:* Venerdì 5 Aprile 2013 13:47 >> *Oggetto:* Bloccare host >> >> ciao a tutti, >> da qualche giorno ho dei tentativi di accesso al mio server, tramite >> ftp, dal seguente host welchome-belsugului-fo.b.astral.ro. >> ho provato a inserirlo nell'iptalbles ma posso inserire solo >> astral.ro, se metto tutto mi da errore, ma anche con astral.ro >> continua a fare dei tentativi. >> qualcuno ha qualche idea per bloccarlo? >> grazie >> >> >> -- Per REVOCARE l'iscrizione alla lista, inviare un email a >> debian-italian-requ...@lists.debian.org >> <mailto:debian-italian-requ...@lists.debian.org> con oggetto >> "unsubscribe". Per >> problemi inviare un email in INGLESE a listmas...@lists.debian.org >> <mailto:listmas...@lists.debian.org> >> >> To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org >> <mailto:debian-italian-requ...@lists.debian.org> >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org <mailto:listmas...@lists.debian.org> >> Archive: http://lists.debian.org/515eb9c9.8030...@ser-tec.org >> >> >> > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1365166396.41753.yahoomail...@web172701.mail.ir2.yahoo.com