Em 03/11/05, Mauro Felipe<[EMAIL PROTECTED]> escreveu: > Em 01/11/05, Rainer Alves<[EMAIL PROTECTED]> escreveu: > > Mauro Felipe wrote: > > > > >Amigos, > > > > > >Alguém já utilizou o doormand em um FreeBSD com PF? > > > > > >Não estou conseguindo fazer funcionar. A instalação foi bleleza, mas > > >quando rodo o cliente ele não libera a porta que eu quero no firewall. > > > > > >Maiores informações sobre o doorman: http://doorman.sourceforge.net/ > > > > > >O debug mostra a conexão do cliente, a execução do script para liberar > > >a porta no firewall e logo em seguida fecha a porta! Não entendi! > > > > > > > > > > Mauro, > > > > O doormand.cf tem um parâmetro chamado "connection_delay_1", em que o > > padrão é 1/10 de segundo entre o primeiro SYN e o término do handshake > > com o daemon. > > Tente alterar os seguintes parâmetros no doormand.cf e reinicie o > > daemon.. veja se isso resolve o seu problema: > > > > connection-delay-1 1000000000 > > connection-delay-2 60 > > waitfor 60 > > > > (o "connection-delay-1" é definido em microsegundos, e o valor que vem > > na conf padrão é 100000 = 1/10 de segundo). > > > > Att., > > Rainer Alves > > BrasilTelecom > > > > > > > > _______________________________________________ > > Freebsd mailing list > > Freebsd@fug.com.br > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > > Pessoal, > > A configuração estava correta, o que estava faltando era colocar no > meu arquivo de regras do PF a linha "anchor doorman" que é o > subconjunto de regras que o doorman vai gerenciar. > > > -- > [ ]´s > > Mauro Felipe
Bem sei que a thread não está falando diretamente sobre o brute force feito no ssh, mas deve ser a provavel causa para instalar o doorman, só uma dica... usei 2 softwares em conjunto com o snort e consegui barrar totalmente o bruteforce ! Tenho um OpenBSD rodando o snort+pf e instalei o snort2c ( alternativo ao snort2pf ) e o mons2c ( limpa a tabela ). Basta criar a regra para o snort e uma tabela no seu pf ! URL e Documentação para o snort2c http://snort2c.sourceforge.net/ regra para o snort: # New rule for catching ssh brute-force attacks alert tcp $HOME_NET any -> any 22 (msg:"SSH Brute-Force attack"; threshold: type both, track by_src, count 2000, seconds 60; classtype:trojan-activity; sid:1000281; rev:2;) _______________________________________________ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br