Еще раз про SSH и iptables

Опубликовано сентября 27, 2007. Автор Dmitriy Lyalyuev

На просторах линуксфорума нашел:

iptables -A INPUT -p tcp -m state — -state NEW - -dport 22 -m recent — -update - -seconds 20 -j DROP
iptables -A INPUT -p tcp -m state — -state NEW - -dport 22 -m recent — -set -j ACCEPT

Все кто ломятся быстрее 20 сек — отлетают, т.е. определяются как боты-брутфорсеры. Просто и эффективно.

Поделиться этой заметкой с друзьями:

Добавь меня:
Рубрики Линукс Теги: , , ,
«
»
Вы можете оставить комментарий, или поставить трэкбек со своего сайта.

7 комментариев(я)

  • 26.06.2008 08:39, www2 сказал:

    Полезно. Некоторые перевешивают SSH на другой порт. Я в своём по-умолчанию закрытом фаерволле проковыриваю дырочки для доступа только из тех подсетей, откуда захожу сам. Вообще не считаю нужным светить SSH всему Интернету, пусть даже и на нестандартном порту. Точно также настраиваю доступ к остальным непубличным серверам: TFTP, RADIUS, NetFlow-коллекторы, Web-серверы со статистикой, APT-кэшер и т.п.

    [Ответ]
    • 29.06.2008 07:45, Защита SSH сервера | Записки старого сисадмина сказал:

      [...] Теперь нам надо бы еще закрыть доступ для всяких ботов-брутфорсеров. Как это сделать я описывал в этой заметке. [...]

      [Ответ]
      • 29.06.2008 10:18, NanoRobocop сказал:

        Что это за «тире» в командах iptables?? Уже можно UTF-8 в командах:))

        И неплохо-бы ссылки на источник давать

        [Ответ]
        • 29.06.2008 13:58, Silver Ghost сказал:

          NanoRobocop, да опять же та же проблема с автоправкой кода ВП… он меня устал уже с этим глюком.

          Про ссылку – я давно это нашел и давно юзаю. Ссылка потерялась уже давно. А где брал – указал. Кому надо – тот найдет.

          [Ответ]
          • 08.01.2009 17:01, PadonaK сказал:

            iptables -A INPUT -p tcp -m state -state NEW -dport 22 -m recent -update -seconds 20 -j DROP
            Bad argument `NEW’

            Даже без тире – не работает . Надо МАN почитать…

            [Ответ]
            • 09.01.2009 10:01, www2 сказал:

              man’ы вообще читать полезно. Ну а для того чтобы понять как правильно записать опции, достаточно изучить стиль задания опций в программах GNU.

              В программах GNU однобуквенные опции начинаются со знака минуса. Нескольк однобуквенных опций, не имеющих дополнительных аргументов, можно указывать друг за другом после единственного минуса. Длинные опции начинаются с двух знаков минуса.

              Там где стоит одинокий минус, он на самом деле идёт подряд со следующим минусом.

              [Ответ]
              • 10.12.2009 23:04, rusty_dragon сказал:

                ***Правила iptables:
                iptables -A INPUT -p tcp -m state –state NEW –dport 22 -m recent –update –seconds 20 -j DROP

                iptables -A INPUT -p tcp -m state –state NEW –dport 22 -m recent –set -j ACCEPT

                ***Ссылка от гугла на линуксфорум
                http://linuxforum.ru/index.php?showtopic=9454&view=findpost&p=146450

                ***Оригинал
                http://bigkaa.blogspot.com/2005/12/firewall-slackware.html

                Спасибо, Silver Ghost.
                Ценный блог.

                [Ответ]
                (Обязательно)
                (Обязательно, не публикуется)

                Twitter Delicious Facebook Digg Stumbleupon Favorites More

                • Видео

                RSS FeedПодпишись на RSS!
                Следуй за мной!Следуй за мной!

              • Счетчики


              • Реклама