mr wrote:
...
Code: Select all
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
-A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
...
Was mache ich falsch?
Hi,
Du gibst deutlich zu wenige Infos!
Generell: ist das recent Modul vorhanden?
Welche Kernelversion, welche iptables-Version?
Keine Infos in den Logdateien?
Werden die Zeilen bei einem
iptables -L aufgeführt?
Solltest Du die SuSE FW2 nutzen: wo hast Du die Zeilen eingefügt?
Und dann gehe ich davon aus, daß am Anfang der Regeln jeweils ein Verweis auf iptables steht ... oder? Also etwas in der Art:
/usr/sbin/iptables -A INPUT -p tcp ...
Weiterhin nehme ich an, daß Du durchaus den Text des geposteten link auch weiter gelesen hast ... sort gibt es nämlich ein Regelupdate:
Code: Select all
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j DROP
So ... dann müßte eigentlich nur noch ein Regel für SSH_WHITELIST erstellt werden (etwa /usr/sbin/iptables -N SSH_WHITELIST), und danach die SSH_WHITELIST befüllt werden (/usr/sbin/iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT).
Vergleich auch (obiges angepaßt):
http://blog.andrew.net.au/tech/security
Gruß