iptables e dstlimit
Ciao *, ho notato che su un server Sarge con sshd ci sono parecchi tentativi di connessione con password puntualmente errata e utente spesso inesistente. Vorrei limitare il numero di questi tentativi a non più di 5 al minuto. Ho provato con questa regola di iptables (per ora con target su LOG a scopo di debug): # iptables -I INPUT 3 -p tcp --dport 22 -m dstlimit --dstlimit 5/minute --dstlimit-mode srcipdstip-dstport --dstlimit-name sshlimit -m state --state NEW -j LOG però mi risponde: iptables v1.2.11: bad --dstlimit-mode: `srcipdstip-dstport' Perché? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables e dstlimit
Uhm, sempre più strano... Ho provato ad usare il dlimit-mode srcip-dstip, che per il mio scopo dovrebbe comunque essere sufficiente. A questo punto l'errore che mi dà è: iptables: No chain/target/match by that name che mi fa pensare che -j LOG non vada bene. Ho verificato, il modulo ipt_LOG è caricato. Allora, tanto per provare, ho messo il target a ACCEPT: stesso errore. Mi è quindi sorto il dubbio che manchi il modulo per dstlimit e che l'errore dato da iptables sia fuorviante. Infatti è così, quel modulo manca. In /boot/config-2.6.8-2-686 non esiste la stringa DSTLIMIT. Per caso sapete se qualche kernel più recente, tipo quello in etch o sid, abbia già quel modulo? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables e dstlimit
Alle 09:52, venerdì 02 dicembre 2005, Lucio Crusca ha scritto: Ciao *, ho notato che su un server Sarge con sshd ci sono parecchi tentativi di connessione con password puntualmente errata e utente spesso inesistente. Vorrei limitare il numero di questi tentativi a non più di 5 al minuto. Ho provato con questa regola di iptables (per ora con target su LOG a scopo di debug): # iptables -I INPUT 3 -p tcp --dport 22 -m dstlimit --dstlimit 5/minute --dstlimit-mode srcipdstip-dstport --dstlimit-name sshlimit -m state --state NEW -j LOG però mi risponde: iptables v1.2.11: bad --dstlimit-mode: `srcipdstip-dstport' Perché? non lo so, però puoi provare un altro modulo di iptables. Io, ad esempio, faccio così: (le 2 righe sono spezzate dall'editor) #iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set #iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 -j DROP come descritto in un articolo di http://www.debian-administration.org/ -- A presto -Valerio-
Re: iptables e dstlimit
Valerio Felici ha scritto: non lo so, però puoi provare un altro modulo di iptables. Io, ad esempio, faccio così: (le 2 righe sono spezzate dall'editor) #iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set #iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 -j DROP Però così ho un problema: non tiene traccia di quale sia l'ip sorgente, quindi rischio di essere droppato io (legittimo amministratore del server) a causa degli altri che stanno facendo brute force sul mio server. Forse non lo bucheranno, ma mi causano di certo un DoS! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables e dstlimit
Lucio Crusca ha scritto: Valerio Felici ha scritto: non lo so, però puoi provare un altro modulo di iptables. Io, ad esempio, faccio così: (le 2 righe sono spezzate dall'editor) #iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set #iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 -j DROP Però così ho un problema: non tiene traccia di quale sia l'ip sorgente, quindi rischio di essere droppato io (legittimo amministratore del server) a causa degli altri che stanno facendo brute force sul mio server. Forse non lo bucheranno, ma mi causano di certo un DoS! sembrama non è così. l'articolo cui facevo riferimento è questo: http://www.debian-administration.org/articles/187 l'hai già letto? cito: The --set parameter in the first line will make sure that the IP address of the host which initiated the connection will be added to the recent list, where it can be tested and used again in the future i.e. in our second rule. Quindi, salvo errori e/o omissioni, non è come dici tu. Sempre pronto a ricredermi. -- A presto -Valerio- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]