Bloquer temporairement la connexion avec l'hôte s'il se connecte au port X
j'ai Linux VPS, Et il est constamment scanné, piraté par des adresses IP frauduleuses. Ce VPS - Mon serveur privé qui ne sert que moi et je suis le seul utilisateur. De plus, je suis le seul utilisateur qui doit être autorisé à se connecter.
Je voudrais vous demander ServerFault, Commentaire sur ma méthode de problèmes de "solution" et m'indiquez tous les problèmes avec lui, car je n'ai pas d'expérience
en général.
Sur mon serveur j'utilise
dans le port
et
dans le port
. J'ai déplacé les deux services aux ports non standard de
et
, Pour empêcher les attaques stupides de la force approximative des ports bien connus. En ce qui concerne le problème des ports de numérisation, j'ai décidé de créer un "piège" pour des ports standard.
(telnetd),
(sshd),
(pop3),
(httpd) etc. Si le pare-feu détecte que quelqu'un veut se connecter à ces ports, il doit bloquer le package d'initiation avec
tout
Connexion supplémentaire avec l'hôte source lors des éléments suivants 24 heures, même avec des ports
et
. Pour cela, j'essaie d'utiliser
module
:
Selon mes tests, il semblerait que même fonctionne, mais il y a
meilleurs
Méthode pour effectuer ce que j'essaie de faire?
Je voudrais vous demander ServerFault, Commentaire sur ma méthode de problèmes de "solution" et m'indiquez tous les problèmes avec lui, car je n'ai pas d'expérience
iptables
en général.
Sur mon serveur j'utilise
dovecot
dans le port
993
et
sshd
dans le port
22
. J'ai déplacé les deux services aux ports non standard de
X
et
Y
, Pour empêcher les attaques stupides de la force approximative des ports bien connus. En ce qui concerne le problème des ports de numérisation, j'ai décidé de créer un "piège" pour des ports standard.
23
(telnetd),
22
(sshd),
110
(pop3),
80
(httpd) etc. Si le pare-feu détecte que quelqu'un veut se connecter à ces ports, il doit bloquer le package d'initiation avec
tout
Connexion supplémentaire avec l'hôte source lors des éléments suivants 24 heures, même avec des ports
X
et
Y
. Pour cela, j'essaie d'utiliser
recent
module
iptables
:
iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP
Selon mes tests, il semblerait que même fonctionne, mais il y a
meilleurs
Méthode pour effectuer ce que j'essaie de faire?
Aucun résultat connexe trouvé
Invité:
Pour répondre aux questions, connectez-vous ou registre
1 réponses
Giselle
Confirmation de:
, qui fonctionne dans l'espace utilisateur et agit sur le journal du message des noyaux), Il doit être assez efficace.
Cependant, gardez à l'esprit que vous avez un potentiel sérieux d'un type d'attaque «Défaut de maintenir». Un attaquant peut envoyer SYN Avec des adresses source contrefaites sur l'un de ces ports de piège et bloquez ces adresses IP. Envoyez suffisamment de forfaits pour bloquer la plupart d'Internet, ce ne serait pas extrêmement difficile. Vous voulez probablement penser à l'ajout explicite à la liste blanche de toutes les adresses que vous utilisez habituellement pour accéder au serveur.
S'il est inapproprié d'entrer dans la liste blanche des adresses IP que vous utilisez habituellement pour accéder au serveur, je ne pense pas que cela irait sur ce chemin.