IPtables probléma

Linux-kezdő

Sziasztok

Van egy scriptem, ami óránként megnézi az auth.logot. Ha talál olyat, ahol nem megfelelő jelszóval akarnak belépni, vagy root jelszót próbálgatják, akkor meghézi, hogy az IP ki van-e már tiltva. Ha nincs, akkor kiadja a következő tűzfal szabályt: IPTABLES -A INPUT -s $ipcim -j DROP. Ezt az eseményt elmenti egy logfájlba. Ezzel a szabállyal elvileg minden bejövő kapcsolatot tilt az érintett IPről.
Az eseteket elküldi mailben minden nap. Ma kaptam egy levelet 518 próbálkozás :S

Bemásolom a próbálkozások egy részét:
-------------------------------------------------------------------
Aug 28 06:40:37 dima 80.95.75.141
Aug 28 06:40:41 dima 80.95.75.141
Aug 28 06:41:33 dimak 80.95.75.141
Aug 28 06:41:35 dimal 80.95.75.141
Aug 28 06:41:38 dimam 80.95.75.141
Aug 28 06:41:40 diman 80.95.75.141
Aug 28 06:41:42 dimao 80.95.75.141
Aug 28 06:41:45 dimap 80.95.75.141
Aug 28 06:41:47 dimaq 80.95.75.141
Aug 28 06:42:00 dimar 80.95.75.141
Aug 28 06:42:01 dimas 80.95.75.141
Aug 28 06:42:01 dimat 80.95.75.141
Aug 28 06:42:45 dimah 80.95.75.141
Aug 28 06:42:48 dimai 80.95.75.141
Aug 28 06:42:51 dimaj 80.95.75.141
Aug 28 06:42:53 dimak 80.95.75.141
Aug 28 06:42:56 dimal 80.95.75.141
Aug 28 06:42:59 dimam 80.95.75.141
Aug 28 06:43:02 diman 80.95.75.141
Aug 28 06:43:04 dimao 80.95.75.141
Aug 28 06:43:07 dimap 80.95.75.141
Aug 28 06:43:18 dimaq 80.95.75.141
Aug 28 07:12:00 publico 80.95.75.141
Aug 28 07:12:03 publico 80.95.75.141
Aug 28 07:12:10 publico 80.95.75.141
Aug 28 07:12:12 publico 80.95.75.141
Aug 28 07:12:14 publico 80.95.75.141
Aug 28 07:12:17 ramon 80.95.75.141
Aug 28 07:12:20 ramon 80.95.75.141
Aug 28 07:12:22 ramon 80.95.75.141
Aug 28 07:12:25 ramon 80.95.75.141
Aug 28 07:12:27 ramon 80.95.75.141
Aug 28 07:12:30 tecpar 80.95.75.141
Aug 28 07:12:32 tiago 80.95.75.141
Aug 28 07:12:34 tiago 80.95.75.141
Aug 28 07:12:38 tiago 80.95.75.141
Aug 28 07:12:39 tiago 80.95.75.141
Aug 28 07:12:42 tiago 80.95.75.141
-------------------------------------------------------------------

A logfájl (amibe menti az eseményeket) szerint:
A következő kitiltva 80.95.75.141, kitiltás ideje: 2008.08.28_ 7:01

A tűzfal szabályokat is elküldi:

-A INPUT -s 80.95.75.141 -j DROP
-A INPUT -s 222.208.232.138 -j DROP

A kérdésem csupán annyi, hogy ha kiadta a tűzfal szabályt, akkor mért fogadja a kapcsolódásokat erről az ipről?

A tűzfal szabályok között az érintett:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT;

Ezt a gép indulásakor automatikusan kiadja sok más között.

Köszönöm a segítséget

  • 1031 megtekintés

( kbela | 2008. 08. 29., p – 09:31 )

A szabalyokat egymas utan ertelmezi. Tehat ha az elejen ott van az hogy elfogadja a 22-es portra a kapcsolodast, utanna mar hiaba tiltasz egy IP cimet mert az elozo szabalyt mar ervenyesitete.

Az uj szabalyt ad ki a -I parameterrel a -A helyett. A -I beszurja a lista elejere, a -A a lista vegere fuzi.

( foci v | 2008. 08. 29., p – 09:33 )

Ha egyszer azt montad hogy engedje a 22-es portot utána hiába mondod már hogy tiltsa nem fogja!

( informer v | 2008. 08. 29., p – 09:40 )

de miért nem bízod ezt az egészet a fail2ban -ra?

( muszi v | 2008. 08. 29., p – 09:51 )

Az iptables 

ipt_recent

match-e a te baratod.

(Nalam percenkent max. 3 ssh probalkozast enged meg egy IP-rol, utana szunet mindaddig, amig egy perc "csendet" nem eszlel... :-)

( szobi | 2008. 08. 29., p – 10:22 )

az ipf-fel ellentetben, ahogy mar irtak, az iptables az elso matchig megy. ha ragaszkodsz ehhez a megoldashoz, a kovetkezo egy lehetoseg:
iptables -N BANNED
iptables -I INPUT 1 -j BANNED
es ebbe gyujtod az ipket

udv.:
-szobi.