Чтобы предотвратить атаки грубой силы на ssh, я добавил некоторые правила iptables (ниже). Вопрос: как я могу перечислить заблокированные IP-адреса?
(1)
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
iptables -L INPUT -v -n
показывает все заблокированные ipОтветы:
Одним из вариантов может быть запись любого из ваших отброшенных пакетов с помощью правила вроде:
Вставьте это непосредственно перед
DROP
правилом. Затем вы можете выполнить поиск файла системного журнала для чего угодно с «FW_DROPPED», и список IP-адресов будет там. Записи в файле журнала выглядят примерно так:Таким образом, отрывок, который следует за «SRC =», покажет вам пропущенные IP-адреса. Сортируйте это, удаляя дубликаты, и у вас будет свой список.
Я нашел Учебное пособие по Iptables как наиболее полезную документацию для iptables / netfilter.
источник
Вы можете найти подробности в / proc / net / ipt_recent / SSH.
Эта статья имеет больше информации.
источник
смотреть на
/proc/net/ipt_recent/YOURNAME
где YOURNAME - это имя, которое вы использовали с параметром --name в вашем правиле iptables.
источник
/proc/net/xt_recent/[list-name]
Вот простой вкладыш:
источник
Например, для подмены входного адреса я определяю цепочку
SPOOF_REJECT
:затем отправить пакеты в эту цепочку, если они подделаны:
Вы можете сделать что-то подобное для каждой категории пакетов, которые вы отбрасываете или отклоняете, чтобы получить строку в системном журнале для поиска, а затем периодически выполнять поиск, сортировку и сортировку, чтобы получать только IP-адреса из этих строк журнала.
Преимущество использования отдельных цепочек для каждой категории состоит в том, что ваша конфигурация становится более простой и ее легче читать
iptables
. Добавляя все больше и больше правил, вы будете рады, что использовали отдельные цепочки для конкретных действий.источник
«Вопрос: как я могу перечислить заблокированные IP-адреса?»
Создайте ЗАПРЕЩЕННУЮ цепочку:
Создайте цепочку логирования:
Добавьте переход к запрещенной цепочке в цепочке INPUT перед большинством других правил
Теперь добавьте ipaddresses в запрещенную цепочку:
Вы также можете использовать его как базу данных с параметрами комментариев, так что вы можете знать, когда, почему и т. Д. Flock важен, когда iptables часто обновляется многими процессами - кажется, что iptables не имеет встроенной блокировки.
Чтобы просмотреть запрещенные адреса и правила в запрещенной цепочке:
Для просмотра только что отсортированных уникальных ipaddresses:
У меня на серверах запущено несколько демонов, проверяющих файлы системного журнала и веб-журналы, поэтому, если кто-то предпринимает какие-либо неприятные попытки, их адрес автоматически блокируется на несколько дней, в зависимости от типа и серьезности, а также количества предыдущих атак. Информация регистрируется в базе данных mysql и периодически истекает. Адреса также распределяются на каждую другую машину в кластере по репликации MySQL, поэтому они также защищены и синхронизированы. Мое программное обеспечение также ищет владельца сети и отправляет жалобу интернет-провайдеру.
После 10 лет работы, я надеюсь сделать его доступным для всех в скором времени. В настоящее время у меня около 1,5 миллионов историй IP-адресов и сотни тысяч сообщений о почтовых и ssh-атаках, помогающих очистить сеть. Если больше будет использовать его, то я надеюсь, что это будет иметь большее влияние.
источник