ฉันพยายามตั้งค่ากฎ iptables เพื่ออนุญาตเพียง 3 ครั้งต่อนาทีเพื่อเชื่อมต่อกับ servir ผ่าน SSH และปล่อยการเชื่อมต่อทั้งหมดหลังจากเพื่อป้องกันการโจมตีของ SSH แต่ดูเหมือนว่าฉันกำลังทำอะไรผิดพลาด!
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
ขอบคุณ
คำตอบ:
ฉันคิดว่าคุณต้องใช้ดีกว่าfail2banเพราะกฎ ipfilter ของคุณยังบล็อกการเชื่อมต่อที่ถูกกฎหมาย fail2banจะบล็อกเฉพาะ IP หลังจากการเชื่อมต่อล้มเหลว
ถัดไปการปฏิบัติทั่วไปคือการห้าม IP เมื่อพวกเขาพยายามเชื่อมต่อกับพอร์ต 22 และผูกเซิร์ฟเวอร์ ssh ของคุณไปยังพอร์ตอื่น คุณต้องเผชิญกับการเชื่อมต่อที่ผิดกฎหมายสองสามครั้งต่อสัปดาห์หากคอมพิวเตอร์ของคุณไม่ใช่เป้าหมายที่รู้จักกันดี
สำหรับคำถามที่แม่นยำที่คุณถาม:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
คุณสามารถใช้สิ่งที่คุณต้องการด้วยกฎ 2 ข้อต่อไปนี้
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
โปรดทราบว่าการใช้-Aที่เพิ่มกฎไปยังจุดสิ้นสุดของห่วงโซ่สามารถลดลงจากวิธีการที่กฎ iptables ถูกประมวลผลเช่นในลำดับดังนั้นหากมี DROP ทั่วไปหรือกฎการอนุญาตก่อนที่จะถึงคุณจะไม่ดำเนินการต่อไป
ต้องบอกว่าคุณอาจพบว่าfail2banเป็นวิธีที่ดีกว่าในการใช้บล็อกประเภทนี้
คุณอาจต้องการลองใช้โมดูล LIMIT
iptables -A INPUT -p tcp --dport 22 -m limit --limit 3/minute -j ACCEPT