Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Hola a todos,

    Este es mi primer post en este foro despues de llevar meses leyendo. Os comento mi problema, necesito eliminar los ataques por fuerza bruta a mi equipo MK al servicio SSH. Con iptables lo soluciono con estas reglas:

    iptables -A INPUT -p tcp –dport ssh -m state –state NEW -m recent –set –name SSH -j ACCEPT
    iptables -A INPUT -p tcp –dport ssh -m recent –update –seconds 60 –hitcount 4 –rttl –name SSH -j DROP

    Estas reglas me permiten añadir a una lista negra las IP que intentan acceder por SSH a mi equipo en un minuto,. El problema es que en MK no encuentro la opción para ir actualizando el contador de los accesos de una misma IP, no se si hay alguna opción similar o no existe.

    He probado utilizar la opción de connection-limit pero esta opción solo bloquea el acceso cuando existen más de 3 conexiones simultaneas.

    / ip firewall filter
    add chain=input protocol=tcp dst-port=22 connection-limit=3,32 \
    connection-state=established action=add-src-to-address-list \
    address-list="Bloqueo SSH" address-list-timeout=1m comment="" \ disabled=no

    add chain=input src-address-list="Bloqueo SSH" action=drop comment="" \
    disabled=no


    Una cosa que no me sirve es la de bloquear el servicio para ciertas IP validas.

    Estaria muy agradecidos si alguien me puede ayudar.

    Un saludo

    Kiket
    Última edição por kiket; 19-05-2007 às 05:29. Razão: Actualización

  2. Me respondo en este post nuevo por si a alguien le interesa. Como no he encontrado ningna solución elegante os dejo la forma como me funciona:

    ;;; DROP trafico SSH + 3 conexiones/min.
    chain=input protocol=tcp dst-port=22 connection-state=new
    src-address-list=3 conexion action=drop

    chain=input protocol=tcp dst-port=22 connection-state=new
    src-address-list=2 conexion action=add-src-to-address-list
    address-list=3 conexion address-list-timeout=1m

    chain=input protocol=tcp dst-port=22 connection-state=new
    src-address-list=1 conexion action=add-src-to-address-list
    address-list=2 conexion address-list-timeout=1m

    chain=input protocol=tcp dst-port=22 connection-state=new
    action=add-src-to-address-list address-list=1 conexion
    address-list-timeout=1m

    Es una forma poco rudimentaria pero funciona. Si alguien sabe una solución más elegante se lo agradeceria que lo posteara.

    Un saludo.

    Kiket



  3. Veja o Welcome to DenyHosts

    O daemon checa os logs e adiciona os IPs no hosts.deny e dropa com iptables durante um período (1 dia, 1 semana, 1 mês ou mais...) que você mesmo estabelece nas configurações.

  4. Hola Sergio,

    Gracias por tu respuesta, pero mi problema no es con iptables. Las reglas que he puesto arriba de iptables funcionan a la perfección( cuando una IP intenta acceder por cuarta vez se le edniega el acceso durante 1 minuto desde el último acceso ).

    Mi problema era en Mikrotik, de momento lo he solucionado con las 3 últimas reglas, creando 3 listas y comprobando si la ip se encuentra en las listas de accesos anteriores 1 conexion, 2conexion y 3conexion.

    Un saludo y muchas gracias.

    Kiket



  5. Citação Postado originalmente por kiket Ver Post
    Hola Sergio,

    Gracias por tu respuesta, pero mi problema no es con iptables. Las reglas que he puesto arriba de iptables funcionan a la perfección( cuando una IP intenta acceder por cuarta vez se le edniega el acceso durante 1 minuto desde el último acceso ).

    Mi problema era en Mikrotik, de momento lo he solucionado con las 3 últimas reglas, creando 3 listas y comprobando si la ip se encuentra en las listas de accesos anteriores 1 conexion, 2conexion y 3conexion.

    Un saludo y muchas gracias.

    Kiket
    Kiket, não prestei atenção em qual forum estava quando respondi.

    Outra coisa que poderá configurar, no MT, é alterar a porta padrão do ssh. Apenas com esta mudança notará que praticamente desaparecerão as tentativas de acesso, uma vez que estas tentativas são através de scripts testando IP/Porta.






Tópicos Similares

  1. Respostas: 1
    Último Post: 08-06-2006, 20:54
  2. Ataque de scan no SSH
    Por Aquini no fórum Segurança
    Respostas: 38
    Último Post: 10-02-2005, 11:35
  3. Ataque de spammer no Postfix . Help!
    Por fabiovb no fórum Servidores de Rede
    Respostas: 5
    Último Post: 21-11-2004, 22:39
  4. Ataque de vírus?? HELPPP !!!!
    Por Thiago-- no fórum Servidores de Rede
    Respostas: 3
    Último Post: 24-03-2004, 00:07
  5. prevenir envio de e-mails falsos no sendmail.
    Por Ganymede no fórum Servidores de Rede
    Respostas: 0
    Último Post: 15-05-2003, 16:53

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L