Tymczasowo zablokuj komunikację z hostem, jeśli łączy się z portem X
Mam Linux VPS i jest on stale skanowany, zhakowany przez fałszywe adresy IP. Ten VPS to mój prywatny serwer, który służy tylko mnie i jestem jego jedynym użytkownikiem. Ponadto jestem jedynym użytkownikiem, któremu powinno się zezwolić na połączenie się z nim.
ServerFault, chciałbym prosić o komentarz na temat mojej metody "rozwiązania" problemu i wskazanie mi wszelkich problemów z tym związanych, ponieważ nie mam doświadczenia
iptablesw ogóle.
Na moim serwerze używam
dovecotw porcie
993i
sshdw porcie
22... Przeniosłem obie usługi do niestandardowych portów w
Xi
Yaby zapobiec tępym atakom siłowym na znane porty. Jeśli chodzi o problem ze skanowaniem portów, zdecydowałem, że chcę stworzyć pułapkę dla standardowych portów.
23(telnetd),
22(sshd),
110(pop3),
80(httpd) itp. Jeśli firewall wykryje, że ktoś chce się połączyć z tymi portami, powinien zablokować pakiet inicjujący wraz z
każdy
dalsza komunikacja z pierwotnym hostem w ciągu najbliższych 24 godzin, nawet z portami
Xi
Y... Do tego staram się wykorzystać
recentmoduł
iptables:
iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP
Według moich testów wydaje się, że nawet działa, ale tak jest
lepszy
sposób na osiągnięcie tego, co próbuję zrobić?
Nie znaleziono powiązanych wyników
Zaproszony:
Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się
1 odpowiedzi
Anonimowy użytkownik
Potwierdzenie od:
który działa w przestrzeni użytkownika i działa na komunikaty syslog jądra), powinien być w miarę wydajny.
Należy jednak pamiętać, że istnieje tutaj poważny potencjał ataku typu „odmowa usługi”. Osoba atakująca może wysłać SYN ze sfałszowanymi adresami źródłowymi do dowolnego z tych portów pułapki i zablokować te adresy IP. Wysłanie wystarczającej liczby pakietów, aby zablokować większość Internetu, nie byłoby niezwykle trudne. Prawdopodobnie chcesz rozważyć umieszczenie na białej liście adresów, których normalnie używałbyś, aby uzyskać dostęp do serwera.
Jeśli umieszczenie na białej liście adresów IP, których zwykle używasz do uzyskiwania dostępu do serwera, jest niepraktyczne, nie sądzę, bym poszedł tą drogą.