Olá lista!
Tentando resolver meu problema de ataque por força bruta encontrei esse
site:
http://www.stearns.org/doc/adaptive-firewalls.current.html
iptables -A INPUT -p tcp -d my.mail.server --dport 25 --tcp-flags ACK \
ACK -m string --string "rcpt to: decode" \
-j LOG --log-prefix " SID664 "
iptables -A INPUT -p tcp -d my.mail.server --dport 25 --tcp-flags ACK \
ACK -m string --string "rcpt to: decode" \
-m recent --name MAILPROBER --set
iptables -A INPUT -p tcp -d my.mail.server --dport 25 --tcp-flags ACK \
ACK -m string --string "rcpt to: decode" \
-j REJECT --reject-with tcp-reset
iptables -A INPUT -m recent --name MAILPROBER -j DROP
iptables -A INPUT -m recent --name MAILPROBER --seconds 180 -j DROP
Mas confesso minha ignorância para adaptar as regras à minha situação. A
idéia é, ao invés de ficar alimentando uma lista negra, usar o módulo
recent do iptables e fazer com que a pessoa que nao conseguisse logar
remotamente em 3 tentativas levaria DROP por 5 minutos (--seconds 300).
A regra deve ser genérica, tanto para rede interna quanto externa (eth0
faz nat com eth1), como para os serviços (a máquina roda serviços de
ssh, ftp, vnc, etc). Uso Fedora Core 5
Agradeço a ajuda desde já.
--
***********************************
Tulio M. Barros - UIN(ICQ):1593641
tmbarros[a]myrealbox.com LUN:174012
***********************************
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
