2016-09-30 18:40 GMT-05:00 OddieX <odd...@gmail.com>: > El día 30 de septiembre de 2016, 18:40, del tonos > <deltono...@gmail.com> escribió: > > Aunque sea offtopic, la solución es sencilla: bloquea a nivel de host con > > fail2ban en tu debian. > > Saludos > > > > El 30 de septiembre de 2016, 16:29, Epsilon Minus<theepsilonminus@gmail. > com> > > escribió: > >> > >> Estimados, > >> > >> Estoy trabajando con shorewall 5.0, estoy teniendo muchos ataques de > >> ip de chinas. Quiero que se bloquee la conexión ssh al fallar 3 veces. > >> > >> Hace un rato que estoy dando vueltas con shorewall como hacerlo con > >> las actions pero no logro hacerlo. > >> > >> Estoy dandole vueltas a la documentación de Shorewall pero no > >> encuentro la solución. Seguí un poco el ejemplo que da abajo: > >> > >> http://shorewall.net/Events.html > >> > >> Pero me devuelve: WARNING: Log Prefix shortened to > >> "Shorewall:SSH_BLACKLIST:LOG: " /etc/shorewall/action.SSH_BLACKLIST > >> > >> también estuve leyendo la opción de AutoBL pero no comprendo del todo > que > >> hacer. > >> > >> Saludos > >> > > > > > Si tal cual, la mejor que podes hacer es usar fail2ban, aunque > deberias ver a que servicio te estan atacando para analizar la posible > solucion. > > Este. Yo he usado fail2ban, si bien es muy bueno, funciona casi magicamente. El tema es cuando los hosts atacantes son super reincidentes, por defecto fail2ban banea las IPs por 10 min, y luego las libera. Puedes aumentar este intervalo, a que sea por minutos, horas o dias (esto ultimo es mejor, esas IPs chinas y rusas son muy reincidentes).
Personalmente prefiero usar tcpwrappers (hosts.deny), ya que asi quedan bloqueadas indefinidamente, y puede sobrevivir al reboot tambien. -- Erick. ------------------------------------------- IRC : zerick Blog : http://zerick.me About : http://about.me/zerick Linux User ID : 549567