zubastiy |
|
Темы:
136
Сообщения:
548
Участник с: 18 сентября 2009
|
Добро день. Идут атаки на сайты. Сайты стоят за ASA5510. ASA тупо не справляется ) Возникла мысль перед ней поставить машинку с двумя интерфейсами. поднять мост между интерфейсами, на мост повесить ipfw с deny ip особо злостных атакеров. Пробегал где то скрипт который заносит автоматом таких товарищей в бан. Не подскажете? Ну и кто, чем пользовался для защиты в таких ситуациях? |
dima-smirnov |
|
Темы:
13
Сообщения:
166
Участник с: 06 декабря 2009
|
Так может быть просто iptables настроить должным образом. У меня вот например в файле: /etc/iptables/iptables.rules есть строчка -A INPUT -s 94.102.63.90/32 -j DROP Вот правда как это все автоматизировать - я не задумывался, не так много атак |
amigo |
|
Темы:
35
Сообщения:
2126
Участник с: 05 февраля 2007
|
Dima Smirnovfail2ban Dima Smirnovа вообще перевесь ssh на другой порт и используй авторизацию только по ключам.
Разберемся, голубчик!
|
zubastiy |
|
Темы:
136
Сообщения:
548
Участник с: 18 сентября 2009
|
Нашел http://deflate.medialayer.com/ для iptables или apf |
mango |
|
Темы:
43
Сообщения:
1521
Участник с: 18 декабря 2008
|
для ссш sshd_config# например поменять порт Port 3422 # через пробел указать пользователей которым разрешено подключение по ссш AllowUsers admin user1 user2 ну и “в наглую” указать в /etc/hosts.deny забаненые IP адреса А вообще вариантов множество ;-) |
dima-smirnov |
|
Темы:
13
Сообщения:
166
Участник с: 06 декабря 2009
|
fail2banСпасибо за наводку, посмотрю обязательно что она делает а вообще перевесь ssh на другой порт и используй авторизацию только по ключам.Пока не задавался подобной задачей, т к атак почти нету в последнее время, а если и есть то единичные P.S. nmap ведь покажет этот порт все-равно открытым ? |
cac2s |
|
Темы:
6
Сообщения:
277
Участник с: 10 января 2009
|
Dima Smirnovfail2bannmap ведь покажет этот порт все-равно открытым ? iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP + ... FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP ... FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP ... FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP ... FIN,SYN,RST,PSH,ACK,URG NONE -j DROP ... SYN,RST SYN,RST -j DROP ... FIN,SYN FIN,SYN -j DROP |
dima-smirnov |
|
Темы:
13
Сообщения:
166
Участник с: 06 декабря 2009
|
cac2sDima Smirnovfail2bannmap ведь покажет этот порт все-равно открытым ? Спасибо! Буду эксперементировать. А вот fail2ban отличная вещь! Свой сервак сам от себя заблокировал на 10 минут =) |
cac2s |
|
Темы:
6
Сообщения:
277
Участник с: 10 января 2009
|
вспомнил: можно ещё задействовать ограничение на количество попыток соединений по пустым/непрослушиваемым портам. напр., если у вас есть веб-сервер (http + https) и ssh: iptables -A INPUT -m recent --rcheck --seconds 300 --name PORTSCAN -j DROP iptables -A INPUT -p tcp -m multiport ! --dports $HTTP_PORT,$HTTPS_PORT,$SSH_PORT -m limit --limit 5/min -m recent --set --name PORTSCAN -j DROP съевших не одну собаку прошу подправить, если где-то накосячил :) |
amigo |
|
Темы:
35
Сообщения:
2126
Участник с: 05 февраля 2007
|
Dima SmirnovДело даже не столько в этом, сколько в 22-й порт долбят обычно боты. Не ужели Вы думаете, что какой-то хакер сидит и руками перебирает пароли? :)
Разберемся, голубчик!
|