Tymczasowo zablokuj komunikację z hostem, jeśli łączy się z portem X


Mam Linux VPS i jest on stale skanowany, zhakowany przez fałszywe adresy IP. Ten VPS to mój prywatny serwer, który służy tylko mnie i jestem jego jedynym użytkownikiem. Ponadto jestem jedynym użytkownikiem, któremu powinno się zezwolić na połączenie się z nim.
ServerFault, chciałbym prosić o komentarz na temat mojej metody "rozwiązania" problemu i wskazanie mi wszelkich problemów z tym związanych, ponieważ nie mam doświadczenia
       iptables
w ogóle.
Na moim serwerze używam
       dovecot
w porcie
       993
i
       sshd
w porcie
       22
... Przeniosłem obie usługi do niestandardowych portów w
       X
i
       Y
aby zapobiec tępym atakom siłowym na znane porty. Jeśli chodzi o problem ze skanowaniem portów, zdecydowałem, że chcę stworzyć pułapkę dla standardowych portów.
       23
(telnetd),
       22
(sshd),
       110
(pop3),
       80
(httpd) itp. Jeśli firewall wykryje, że ktoś chce się połączyć z tymi portami, powinien zablokować pakiet inicjujący wraz z

każdy

dalsza komunikacja z pierwotnym hostem w ciągu najbliższych 24 godzin, nawet z portami
       X
i
       Y
... Do tego staram się wykorzystać
       recent
moduł
       iptables
:
iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP

Według moich testów wydaje się, że nawet działa, ale tak jest

lepszy

sposób na osiągnięcie tego, co próbuję zrobić?
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Nie sądzę, że jest to nierozsądna konfiguracja sama w sobie. Ponieważ robisz wszystko w przestrzeni jądra (w przeciwieństwie do czegoś takiego jak
         fail2ban
który działa w przestrzeni użytkownika i działa na komunikaty syslog jądra), powinien być w miarę wydajny.
Należy jednak pamiętać, że istnieje tutaj poważny potencjał ataku typu „odmowa usługi”. Osoba atakująca może wysłać SYN ze sfałszowanymi adresami źródłowymi do dowolnego z tych portów pułapki i zablokować te adresy IP. Wysłanie wystarczającej liczby pakietów, aby zablokować większość Internetu, nie byłoby niezwykle trudne. Prawdopodobnie chcesz rozważyć umieszczenie na białej liście adresów, których normalnie używałbyś, aby uzyskać dostęp do serwera.
Jeśli umieszczenie na białej liście adresów IP, których zwykle używasz do uzyskiwania dostępu do serwera, jest niepraktyczne, nie sądzę, bym poszedł tą drogą.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się