alexnik, спасибо за наводку. Сам недогадался. Все правила прописались
я правильно понимаю, что надо
а) добавить в post-boot строчку в конце
б) добавить в post-firewall две строчки в концеCode:insmod ipt_recent
где 1555 - порт sshCode:iptables -t nat -I PREROUTING -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource iptables -I INPUT -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
Чё та не работает нифига...
Кто ещё не купил роутер?
seeker
именно так.
Возможно не тот интерфейс подставляется в post-firewall-е.
что говорит?Code:iptables -L -v | grep SSH_ATTACKER
Last edited by alexnik; 17-01-2007 at 15:37.
Интересует наличие такой строчки, подчеркнутый интерфейс и тип соединенияCode:25 1428 DROP tcp -- vlan1 any anywhere anywhere state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
соединение vpn - ppp0. вот что говорит
нужно что бы защита работала со стороны wan независимо от того, атакуют ли из нета через впн или из локалки со внешней стороны.Code:0 0 DROP tcp -- ppp0 any anywhere anywhere state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS H_ATTACKER side: source
Кто ещё не купил роутер?
проще всего сделать так
Code:iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
вобщем добавление данных строчек не помогло - коннектится пытаться можно сколько угодно с вана.
вот что говорит
iptables -L -v | grep SSH_ATTACKER
Code:0 0 DROP tcp -- !br0 any anywhere anywhere state NEW tcp dpt:https recent: UPDATE seconds: 600 hit_count: 3 name: SS H_ATTACKER side: source 0 0 tcp -- !br0 any anywhere anywhere state NEW tcp dpt:https recent: SET name: SSH_ATTACKER side: source
Кто ещё не купил роутер?
Заметил, что у меня после добавления этой строки в конец post-boot не успевал подгружаться данный модуль, прежде, чем запустится post-firewall, по причине того, что до этого выполнялось еще много строк bost-boot'а и в следствие чего правила, ограничивающие доступ к ssh не прописывались. Будьте внимательны! Лучше "insmod ipt_recent" добавить в pre-boot.
Для усиления паранои можно поднять stunnel и требовать проверки сертификата на порту, открываемом после схемы с стуком по доп. портам. А из stunnel по 127.0.0.1 на 22 порт.
А серт с ключами носить с собой на КПК/флшке.
В случае флешки регулярно вносить его в CRL после использования в темном месте и генерировать новый. =)