現在、私はAsteriskを実行している新しいDebianサーバーでiptablesを使用しています。
auth.logで毎日IPアドレスを確認し、手動で実行します。iptables -A INPUT -s IPA.DRE.SS.0/24 -j DROP
最初はIPアドレスしか扱っていませんでしたが、同様のIPアドレスで視聴回数が多く、/24がよりうまく機能し、/16も何回使ってみました。
すでに何百ものiptablesアイテムがあり、余裕がないほど増えました!私はこれを行うより簡単な方法があるべきであることがわかりました。
FAIL2BANをお勧めしますが、一定回数以上試した後はIPを一時的にブロックするようです。
私が見た2つの主な侵入の試みは、偽のユーザー名とランダムなポートを使用することです。
現在使用していないユーザー名でログインしようとすると、そのIPアドレスが自動的に永久にブロックされる可能性がありますか?未使用のポートと同じですか?
私もこれをたくさん見る:
Did not receive identification string from (malicious IP) port 48334
また、これらのIPをブロックしたいと思います。
私をロックできるパスワードを秘密に入力するのと同じように、間違ったログイン試行を自動的にブロックしません。ただし、3回の試行後にIPを永久にブロックするだけで十分かもしれません。
iptablesでこれを行うことはできますか?私はこのように動作する「永久禁止」について何も見つかりませんでした。現時点では、よりうまく機能しているようです。
一度間違ったユーザー名ログイン、一度間違ったポート接続、または3回の間違ったログインを試みた後(正しいユーザー名を使用)、IP範囲を永久にブロックする操作を手動で実行したいと思います。これがauth.logがスパムされるのを防ぐことを願っています。
答え1
fail2banbantine設定を使用して永久ブロックを構成できます。-1
存在するjail.conf
bantime = -1
再起動すると、これらの情報は失われますが、ボットネットに感染した家庭用コンピュータの多くの試みは寿命が短いため必ずしも悪いわけではありません。
持続したい場合はそうです。https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-pertant-bans/いくつかの指示が提供される場合があります。
デフォルトではfail2ban、禁止されているすべてのIPの永続構成ファイルを生成し、再起動時にiptablesがこのリストをロードするように構成を変更します。
したがって、デフォルト値を確認すると、jail.confデフォルトタスクがであることがわかりますiptables-multiport。この対応する構成ファイル/etc/fail2ban/ction.d/iptables-multiport.conf
次の項目を追加できます。
[Definition]
# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
cat /etc/fail2ban/persistent.bans | awk '/^fail2ban-<name>/ {print $2}' \
| while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j <blocktype>; done
# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck = iptables -n -L <chain> | grep -q 'fail2ban-<name>[ \t]'
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype>
echo "fail2ban-<name> <ip>" >> /etc/fail2ban/persistent.bans
fail2banアイテムが表示されると、設定を介して行/etc/fail2ban/persistent.bans が追加されますactionban。fail2ban起動時にactionstartこのファイルを読み、iptables必要なルールを作成します。
もちろん、fail2ban設定ファイルを変更した後は再起動が必要です。
どちらも「arno0x0x」と彼のWordPressサイトのおかげです。