Hola a todos,
Este es mi primer post en este foro despues de llevar meses leyendo. Os comento mi problema, necesito eliminar los ataques por fuerza bruta a mi equipo MK al servicio SSH. Con iptables lo soluciono con estas reglas:
iptables -A INPUT -p tcp –dport ssh -m state –state NEW -m recent –set –name SSH -j ACCEPT
iptables -A INPUT -p tcp –dport ssh -m recent –update –seconds 60 –hitcount 4 –rttl –name SSH -j DROP
Estas reglas me permiten añadir a una lista negra las IP que intentan acceder por SSH a mi equipo en un minuto,. El problema es que en MK no encuentro la opción para ir actualizando el contador de los accesos de una misma IP, no se si hay alguna opción similar o no existe.
He probado utilizar la opción de connection-limit pero esta opción solo bloquea el acceso cuando existen más de 3 conexiones simultaneas.
/ ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-limit=3,32 \
connection-state=established action=add-src-to-address-list \
address-list="Bloqueo SSH" address-list-timeout=1m comment="" \ disabled=no
add chain=input src-address-list="Bloqueo SSH" action=drop comment="" \
disabled=no
Una cosa que no me sirve es la de bloquear el servicio para ciertas IP validas.
Estaria muy agradecidos si alguien me puede ayudar.
Un saludo
Kiket