Bloquer temporairement la connexion avec l'hôte s'il se connecte au port X

j'ai Linux VPS, Et il est constamment scanné, piraté par des adresses IP frauduleuses. Ce VPS - Mon serveur privé qui ne sert que moi et je suis le seul utilisateur. De plus, je suis le seul utilisateur qui doit être autorisé à se connecter.

Je voudrais vous demander ServerFault, Commentaire sur ma méthode de problèmes de "solution" et m'indiquez tous les problèmes avec lui, car je n'ai pas d'expérience

iptables

en général.

Sur mon serveur j'utilise

dovecot

dans le port

993

et

sshd

dans le port

22

. J'ai déplacé les deux services aux ports non standard de

X

et

Y

, Pour empêcher les attaques stupides de la force approximative des ports bien connus. En ce qui concerne le problème des ports de numérisation, j'ai décidé de créer un "piège" pour des ports standard.

23

(telnetd),

22

(sshd),

110

(pop3),

80

(httpd) etc. Si le pare-feu détecte que quelqu'un veut se connecter à ces ports, il doit bloquer le package d'initiation avec

tout

Connexion supplémentaire avec l'hôte source lors des éléments suivants 24 heures, même avec des ports

X

et

Y

. Pour cela, j'essaie d'utiliser

recent

module

iptables

:

iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP

Selon mes tests, il semblerait que même fonctionne, mais il y a

meilleurs

Méthode pour effectuer ce que j'essaie de faire?
Invité:

Giselle

Confirmation de:

Je ne pense pas que ce soit une configuration déraisonnable par elle-même. Comme vous faites tout dans l'espace du noyau (par rapport à quelque chose comme

fail2ban

, qui fonctionne dans l'espace utilisateur et agit sur le journal du message des noyaux), Il doit être assez efficace.

Cependant, gardez à l'esprit que vous avez un potentiel sérieux d'un type d'attaque «Défaut de maintenir». Un attaquant peut envoyer SYN Avec des adresses source contrefaites sur l'un de ces ports de piège et bloquez ces adresses IP. Envoyez suffisamment de forfaits pour bloquer la plupart d'Internet, ce ne serait pas extrêmement difficile. Vous voulez probablement penser à l'ajout explicite à la liste blanche de toutes les adresses que vous utilisez habituellement pour accéder au serveur.

S'il est inapproprié d'entrer dans la liste blanche des adresses IP que vous utilisez habituellement pour accéder au serveur, je ne pense pas que cela irait sur ce chemin.

Pour répondre aux questions, connectez-vous ou registre