Сохраняем в файл скрипт:#!/bin/sh
# Защита от спамовских атак и от BRUTE-атак с помощью IPTABLES
# REJECT_BRUTERS v.1.0 Lev Zabudkin. zabudkin@mail.ru. http://zabudkin.ru
# 23.03.2010
#
# Описание:
# Данный скрипт позволяет Вам, используя iptables заблокировать
# дальнейшие попытки соединения от надоедливых хостов,
# которые пытались приконнектиться в течении определенного Вами времени
# и определенное Вами количество раз.
#
# Итак поехали:
#
# Мы создаём ниже переменную IPTABLES, дабы не указывать постоянно где он лежит
# Где у Вас лежит iptables? (подсказка: # whereis iptables)
IPTABLES="/sbin/iptables"# На каком сетевом интерфейсе контролировать коннекты
CHECK_INT="ppp0"# Сколько именно коннектов Вы разрешаете с одного хоста?
# В данном случае указано 2, чего вполне достаточно для SMTP.
MAXIMUM_CONNECTIONS_PER_PERIOD=2# А в течение скольки секунд они разрешены?
PERIOD_SECONDS=60# Пояснение: Если в течении Выше указанных секунд хост (в данном примере любой(!))
# попытается приконнектиться к Вам, то соединение будет отброшено (см. -j DROP)
# причем НАВСЕГДА, т.е ДО ТЕХ ПОР, пока Вы не обнулите цепочку BRUTE_CHECK
# ключём -F BRUTE_CHECK команды iptables# Создаём цепочку BRUTE_CHECK
$IPTABLES -N BRUTE_CHECK
# Обнуляем правила цепочки BRUTE_CHECK
$IPTABLES -F BRUTE_CHECK# В данном случае мы удаляем ранее сделанное "перенаправление" (см. чуть ниже)
# чтобы этот скрипт можно было вызывать многократно
$IPTABLES -D INPUT -j BRUTE_CHECK# В данном случае мы "перенаправляем" для обработки входящие пакеты
# в нашу созданную цепочку
$IPTABLES -A INPUT -j BRUTE_CHECK# А тут уже пошли наши правила, которые гласят:
# все входящие пакеты на сетевой интерфейс (мы его указали выше),
# которые являются для нас новыми (см. state) и которые соответствуют нашим
# параметрам (см. выше), мы отбрасываем.
$IPTABLES -A BRUTE_CHECK -i $CHECK_INT -p tcp -m state --state NEW -m recent --set --name BRUTE# См. Ниже Пояснение, если понадобится, то раскоментируете нижеприведенную строку
# (просто уберите символ решетки - #)
#$IPTABLES -A BRUTE_CHECK -i $CHECK_INT -p tcp -m state --state NEW -m recent --update --seconds $PERIOD_SECONDS \
# --hitcount $MAXIMUM_CONNECTIONS_PER_PERIOD --rttl --name BRUTE -j LOG --log-level 4 --log-prefix '** BRUTE **'$IPTABLES -A BRUTE_CHECK -i $CHECK_INT -p tcp -m state --state NEW -m recent --update --seconds $PERIOD_SECONDS \
--hitcount $MAXIMUM_CONNECTIONS_PER_PERIOD --rttl --name BRUTE -j DROP
Пояснение:Для того, чтобы видеть, каких же успехов Вы добились, применив выше написанное, проделайте следующее:
откройте файл /etc/syslog.conf и добавьте в конец строку:
kern.warning /var/log/iptables.log
затем перезапустите syslog:
/etc/init.d/syslog restart
(если у Вас Ubuntu, то наверное это sysklogd)
События (про попытки) будут записываться в файл /var/log/iptables.log,
его и смотрите.Да, и будет не лишним добавить данный скрипт в CRON (/etc/crontab),
скажем каждые 5 минут:*/5 * * * * root Путь/ВашСкрипт
URL:
Обсуждается: http://www.opennet.ru/tips/info/2338.shtml
СПАСИБО! Наконец-то! Вы так доходчиво пишете Лев, спасибо Вам! Мне особенно понравилась Ваша статья про сквид!
да как это чем! Раньше долбали все кому не лень. а сейчас - тишина!
Жду еще подобных заметок с подробными коментариями!
> В данном случае указано 2, чего вполне достаточно для SMTP.два конекта в минуту достаточно для SMTP?!!
За 10 минут в логе 9 адресов и все долбятся на 445 порт... Сомнительная польза, ИМХО.
И кстати, по крайней мере у меня --hitcount 3 третье соединение уже не пропускается. Т.е. в вашем скрипте разрешено только одно соединение в 60 секунд.
Или в новых ядрах это поведение изменено?
Для подобных целей fail2ban существует
а тут то оказывается без всяких файлов-банов пример, а там уже реай как хошь. автор хорош! чё-то сайт его не пашет (