Vladimir V. Kamarzin (Wed, 10 Oct 2007 12:23:14 +0600): > TB> А есть в природе что-нибудь готовое наподобие этого: > TB> Файрволл логирует дропнутые пакеты и потом на основании этого > TB> выносится решение о блокировании некоторых адресов. Например, > TB> если какой-нибудь китаец усердно перебирает пароли к ssh, или > TB> ломится по сети на 135 порт (значит там наверняка > TB> троянец-спаммер), то можно его если не сеть, то хотя бы адрес > TB> отфильтровать на доступ к серверу совсем (или mirror какой на > TB> него сделать). Что-то подобное есть в виндовозном каспере -- > TB> "Блокировать сеть атакующего". > > Пример блокировки ssh от asy@: > > # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT > [...] > # ssh restriction > -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT > -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set > -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update > --seconds 60 --hitcount 4 -j LOG > -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update > --seconds 60 --hitcount 4 -j DROP
А в последнем случае не лучше будет --rcheck вместо --update ? Иначе каждый syn будет считаться дважды. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
