Наши преимущества

Задолбали ssh-сканеры!

enyuri

enyuri

Турист
Credits
0
Привет!
Если ты читаешь эти строки, значит знаешь, про что я говорю.
Меня совсем задолбали, и я решил положить этому конец. Способов много, но я расскажу самый мне приглянувшийся по блокировке bruteforce роботов. Идея кроется в ограничении установленных коннекций на 22 порт за единицу времени. Для Линукса и iptabes это выглядит так:
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j REJECT
Эти правила разрешают устанавливать только 3 коннекции в течении минуты. Роботы не выносят ждать долго, и после трех попыток уходят.

Удачи!
 
О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?
 
А нафига? Рута ssh все равно не пустит, если он правильно настроен, а подбирать кроме пароля еще и логин -- занятие мягко говоря бесперспективное.
 
для фрюхи в /etc/ssh/sshd.config

MaxStartups 5:50:10
# после 5 неправильных регистраций, отторгать 50% новых подключений, и
# не отвечать совсем, если число неправильных регистраций превысило 10
 
А может просто зарезать 22 порт на маршрутизаторе со всего, кроме нужного, ну или использовать hosts.allow
 
Bad_Boy сказал(а):
О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?
Нажмите, чтобы раскрыть...

есть статья как зарубать боты тока она для pf, он ип откуда долбяца добовляет в блэк лист и враг побеждён) во фре он есть. в ipfw к сожалению так нельзя (если тока руками.
 
shalomp1 сказал(а):
a 4o eto takoe ssh ???
Нажмите, чтобы раскрыть...
Security SHell
Типа telnet, но использующий шифрованную передачу данных между клиентом и сервером.
 
Последнее редактирование модератором:
По-моему, проще всего порт закрыть и не мучаться
 
Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...
 
Давно уже читаю тему.....
проще всего в конфиг ссхд настроить.......... ничего страшного в брутфорсе не вижу при нормальньй настройке ссхд и пароле не в 2-3 символа а минимум в 8....

Непонимаю такого параноидального везде и всюду юзать файрвол и зарубать все что можно......
Давайте тогда отключим все сервера от сети чтоб их недайбоже не просканировали......

ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??
 
Последнее редактирование модератором:
Спасибо.

Как увидеть ссылки? | How to see hidden links?
Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...
Нажмите, чтобы раскрыть...

Спасибо все работает.
 
Для ответа нужно войти/зарегистрироваться
Верх