Jump to content

modules iptables


infernum

Recommended Posts

Salut,

Je cherche à bloquer des attaques en masses sur mon serveur ssh.

J'ai trouvé sur le net (ici http://snowman.net/projects/ ) un modules (qui se nomme ipt_recent) qui permet de drop directement les IP qui tentent + de x connexion pendant 5 minutes sur le port 22 par exemple.

Apparement, (j'aurai besoin de vos conseils) dans le kernel 2.6 dans le modules.dep (sous debian) ya déja un ipt_recent.

J'ai fais un modprobe ipt_recent et il se charge bien

J'ai créé mon script iptables comme cela

#!/bin/bash

iptables -F

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#Controler les connexions SSH

iptables -N scanssh

iptables -A INPUT -p tcp --dport 22 -m state -state new -j scanssh

iptables -A scanssh -m recent -set -name ssh

iptables -A scanssh -m recent -update -seconds 180 -hitcount 3 -name ssh -j DROP

Par contre les règles en gras ne sont pas reconnu (ce sont des règles recopier sur le site indiqué) lors du chargement du script :

Bad argument `new'

Try `iptables -h' or 'iptables --help' for more information.

iptables v1.3.6: Unknown arg `-set'

Try `iptables -h' or 'iptables --help' for more information.

iptables v1.3.6: Unknown arg `recent'

Try `iptables -h' or 'iptables --help' for more information.

Quand je les commentes ya pas de soucis ca charge correctement

Es ce que j'ai loupé une étape pour chargé le module ??

Une autre question, sur le site indiqué on peu téléchargé le module, par contre je ne sais pas comment l'utiliser, pouvez vous m'aidez.

Merci d'avance

Link to post
Share on other sites

J'ai réussi à le lancer, c'était due aux arguments mal indiqué,

Je suis repartie sur cette base

iptables -N scanssh

iptables -A INPUT -p tcp --dport 22 -m recent --name scanssh --set --rsource

iptables -A scanssh -m recent --update --seconds 180 --hitcount 3 --name scanssh -j DROP

Sauf que ca marche pas !

je fais des test, entre temps si vous avez qques conseils à me donner.

Link to post
Share on other sites

Salut,

Merci de ta réponse, ca a l'air sympa fail2ban je connaissais pas.

Je souhaite cependant créer la règle moi même, es ce qu"il utilise la meme regle de failureLogin pour chaque service ?

Pi perso j'aimerai bien comprendre et manipuler un peu ce module d'iptable

Link to post
Share on other sites

iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT

Normalement c'est 3 lignes suffise, avec ça j'ai plus du tout de flood ssh.

Link to post
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...