IPTables唯一的解决方案是阻止任何建立或重新连接过多的IP地址

0

我正在寻找仅IPTables解决方案,以阻止在某个端口上在短时间内(例如1分钟)进行过多(例如5个以上)连接或重新连接的任何IP地址。被阻止的地址至少应锁定30分钟。

linux  iptables  port 
清水
source
2
取决于您所说的“仅IPTables”。Fail2Ban会执行此操作,并使用iptables阻止流量,但fail2ban会作为服务来管理这些块(启动和停止)。
CoverosGene 2014年
由于空间不足和其他一些原因,我需要一个没有任何第三方工具的解决方案。
seizu 2014年
您将运行其他服务,例如网络,内核,以及大概的Web服务器或监听您要监视的端口的设备。如果没有一些帮助,iptables不会做您想要的事情,如果您说您不能使用任何帮助,那么……
CoverosGene 2014年
我在嵌入式系统上工作,当然也有内核和网络服务;)
seizu 2014年
1
我要指出的是,您已经就可以使用和不能使用的内容划了一条界限。在您看来,它似乎不是随心所欲的,但它确实是。
CoverosGene

Answers:

2

您提供的解决方案将减慢新连接的速度,但是源可以在180秒后返回,甚至可能发现每60秒可以一次。如果您希望按要求将其禁止至少30分钟(也请检查--rcheck选项而不是--update),则需要将源添加到其他最近的源列表中,而不是删除数据包。这样就变成了:

iptables -N BANNING
iptables -A BANNING -m recent --set --name BANNED --rsource

iptables -A INPUT -m recent --name BANNED --update --seconds 1800 --reap -j DROP
iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j BANNING
西米
source
亚马逊的Linux 4.9.20-11.31.amzn1.x86_64:由iptables-restore v1.4.18:未知的选项“--reap”
马西莫
我发现:最后的iptables没有选项“ reap”,只需将其删除
Massimo
@Massimo检查netfilter的管理员有关最近匹配的扩展名的信息。关于收割说:This option can only be used in conjunction with --seconds。给定的链接适用于iptables v1.4.20。在我使用iptables v1.4.21的服务器上,收割没有问题。但我从未使用过amazon linux ...
Zimmi
0

感谢Zoredache为我指出了该链接。搜索网络后,我在Devon Hillard的技术博客上找到了类似的解决方案。

这两个简单的规则可以完成任务。

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource

iptables -I INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP

来源:使用IPTables防止SSH蛮力攻击

清水
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.