>>>>> On 10 Oct 2007 at 11:37 "TB" == Timur Batyrshin writes:
TB> А есть в природе что-нибудь готовое наподобие этого: TB> Файрволл логирует дропнутые пакеты и потом на основании этого выносится TB> решение о блокировании некоторых адресов. Например, если какой-нибудь TB> китаец усердно перебирает пароли к ssh, или ломится по сети на 135 TB> порт (значит там наверняка троянец-спаммер), то можно его если не сеть, TB> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror TB> какой на него сделать). Что-то подобное есть в виндовозном каспере -- TB> "Блокировать сеть атакующего". Пример блокировки ssh от asy@: # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT [...] # ssh restriction -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j LOG -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j DROP -- vvk Russian Postfix irc: irc.freenode.net #postfix-ru _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
