Tymczasowo zablokuj komunikację z hostem, jeśli łączy się z portem X


Mam Linux VPS i jest on stale skanowany, zhakowany przez fałszywe adresy IP. Ten VPS to mój prywatny serwer, który służy tylko mnie i jestem jego jedynym użytkownikiem. Ponadto jestem jedynym użytkownikiem, któremu powinno się zezwolić na połączenie się z nim.
ServerFault, chciałbym prosić o komentarz na temat mojej metody "rozwiązania" problemu i wskazanie mi wszelkich problemów z tym związanych, ponieważ nie mam doświadczenia 
       iptables
w ogóle.
Na moim serwerze używam 
       dovecot
w porcie 
       993
i 
       sshd
w porcie 
       22
... Przeniosłem obie usługi do niestandardowych portów w 
       X
i 
       Y
aby zapobiec tępym atakom siłowym na znane porty. Jeśli chodzi o problem ze skanowaniem portów, zdecydowałem, że chcę stworzyć pułapkę dla standardowych portów. 
       23
(telnetd),
       22
(sshd),
       110
(pop3),
       80
(httpd) itp. Jeśli firewall wykryje, że ktoś chce się połączyć z tymi portami, powinien zablokować pakiet inicjujący wraz z

każdy

dalsza komunikacja z pierwotnym hostem w ciągu najbliższych 24 godzin, nawet z portami 
       X
i 
       Y
... Do tego staram się wykorzystać 
       recent
moduł 
       iptables
:
iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP

iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP

iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP

iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP

iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP

Według moich testów wydaje się, że nawet działa, ale tak jest

lepszy

sposób na osiągnięcie tego, co próbuję zrobić?
2021-03-02 Dodaj komentarz
Udostępnij to

Nie znaleziono powiązanych wyników

    Zaproszony:
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Nie sądzę, że jest to nierozsądna konfiguracja sama w sobie. Ponieważ robisz wszystko w przestrzeni jądra (w przeciwieństwie do czegoś takiego jak 
             fail2ban
    który działa w przestrzeni użytkownika i działa na komunikaty syslog jądra), powinien być w miarę wydajny.
    Należy jednak pamiętać, że istnieje tutaj poważny potencjał ataku typu „odmowa usługi”. Osoba atakująca może wysłać SYN ze sfałszowanymi adresami źródłowymi do dowolnego z tych portów pułapki i zablokować te adresy IP. Wysłanie wystarczającej liczby pakietów, aby zablokować większość Internetu, nie byłoby niezwykle trudne. Prawdopodobnie chcesz rozważyć umieszczenie na białej liście adresów, których normalnie używałbyś, aby uzyskać dostęp do serwera.
    Jeśli umieszczenie na białej liście adresów IP, których zwykle używasz do uzyskiwania dostępu do serwera, jest niepraktyczne, nie sądzę, bym poszedł tą drogą.
    2021-03-02 0 0
    Udostępnij to
    Dlaczego jest złożony? 0 odpowiedzi zostało zwiniętych

    Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się

    Polityka prywatności: https://zweryfikowac.pl/Polityka-prywatnosci.pdf
    Copyright © 2023, All Rights Reserved