В заметке приведены различные варианты защиты от bruteforce-атак, на примере блокирования последовательного подбора паролей через ssh.Общий шаблон правил
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p all -i lo -j ACCEPT
iptables -A OUTPUT -p all -o lo -j ACCEPT
Здесь будут наши правила (вариант)
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
++ Вариант 1, используя модуль recent:
Добавляем ip в таблицу
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK —set
С одного ip разрешаем 2 (--hitcount 3-1) запроса на соединение (NEW) в минуту (60 секунд),
третье блокируется и все последующие в течении минуты
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --update --seconds 60 --rttl --hitcount 3 -j DROP
Разрешаем входящие соединения на 22 порт
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
++ Вариант 2, используя модуль hashlimit:
С одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m) все остальные пакеты (NEW) c этого ip блокируется
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \
--hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -j DROP
Разрешаем входящие соединения на 22 порт
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
++ Вариант 3, используя модули connlimit, limit:
С одного ip разрешаем не больше одно соединения (! --connlimit-above 1) на 22 порт, пропускаем 2 пакета в минуту с запросом на соединение (NEW), все остальные пакеты (NEW) c этого ip блокируется
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m connlimit ! \
--connlimit-above 1 -m limit --limit 2/m --limit-burst 2 -j ACCEPT
++ Вариант 4, параноидальный:
Два раза в течении минуты разрешено подключаться к 22 порту, при превышении порога ip блокируется на 10 минут.
блокируем ip с запросом на соединение (NEW) попавшие в динамически обновляемую таблицу на 600 секунд
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --rcheck --seconds 600 -j DROP
С одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m), если превышен порог,то добавляем ip в таблицу BLOCK для блокировки на 600 секунд (10 минут)
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \
--hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP
Разрешаем входящие соединения на 22 порт
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
URL: http://linux-online-ru.blogspot.com/2010/06/bruteforce-iptab...
Обсуждается: http://www.opennet.dev/tips/info/2386.shtml