Здравствуйте, как дистрибутивно блокировть какие-либо действия из вне? Установил
snort-inline+flexresp - Snort с чтением трафика через IPTables и автоблокировкой Добавил правило: #Submitted by Matt Jonkman alert tcp $EXTERNAL_NET any -> $HOME_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src, count 5, seconds 120; classtype: attempted-recon; reference:url,en.wikipedia.org/wiki/Brute_force_attack; sid: 2001219; rev:14;) alert tcp $HOME_NET any -> $EXTERNAL_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan OUTBOUND"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src, count 5, seconds 120; classtype: attempted-recon; reference:url,en.wikipedia.org/wiki/Brute_force_attack; sid: 2003068; rev:2;) С другого адреса начинаю брутофорсить ssh, правило срабатывает: [**] [1:2003068:2] BLEEDING-EDGE Potential SSH Scan OUTBOUND [**] [Classification: Attempted Information Leak] [Priority: 2] 09/23-08:29:31.467122 82.219.201.133:41256 -> 82.219.201.130:2222 TCP TTL:62 TOS:0x0 ID:14265 IpLen:20 DgmLen:52 DF ******S* Seq: 0xD0CF4A74 Ack: 0x0 Win: 0x16D0 TcpLen: 32 TCP Options (6) => MSS: 1460 NOP NOP SackOK NOP WS: 4 [Xref => http://en.wikipedia.org/wiki/Brute_force_attack] Но не блокируется, как правильно сделать что-бы добавлялось правило iptables для блокировки? В бранче не нашел ничего вроде SnortSam, Guardian, Hogwash. -- Best Regards, Yury Konovalov aka Speccyfan (2:453/53) Registered Linux User #379588
_______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
