ufw deny do ip não parece estar funcionando

5

Eu tenho seguido o log de acesso do meu servidor enquanto estou trabalhando hoje, e notei que um dos sites wordpress do meu cliente foi atacado com tentativas de login de um IP de fora do país.

Eu queria negar o acesso deste endereço IP e tentei o seguinte comando ufw:

sudo ufw deny from xx.xx.xx.xx to any

Vejo que a regra foi adicionada e o firewall está ativo, mas ainda estou vendo muitas postagens na página de login desse endereço IP.

Eu também tentei usar o iptables, embora eu não esteja muito familiarizado com a ferramenta:

sudo iptables -A INPUT -s xx.xx.xx.xx -j DROP

Eu já falei errado? Eu acho que depois de negar o acesso ao endereço IP que não iria aparecer no meu log de acesso do apache com um status ok 200 para o post para a página de login.

Editar: Como eu mencionei, o ufw está ativo e a regra está no lugar, aqui está a saída do status ufw (com o ip bloqueado):

root@mel:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
80                         ALLOW       Anywhere
1723                       ALLOW       Anywhere
8080                       ALLOW       Anywhere
6273                       ALLOW       Anywhere
36728                      DENY        Anywhere
Anywhere                   DENY        xx.xx.xx.xx
22                         ALLOW       Anywhere (v6)
80                         ALLOW       Anywhere (v6)
1723                       ALLOW       Anywhere (v6)
8080                       ALLOW       Anywhere (v6)
6273                       ALLOW       Anywhere (v6)
36728                      DENY        Anywhere (v6)
    
por rmmoul 12.01.2016 / 16:29

1 resposta

11

A ordem das regras de firewall é importante. Como você permitiu a porta 80 para todos no início, essa regra corresponderá a todas as solicitações e a regra de negação que virá depois nunca será correspondida.

Então, se você precisar bloquear algo particluarly , coloque-o no começo e, em seguida, permita tudo .

Para ver suas regras com um número de referência, use isto:

sudo ufw status numbered

Em seguida, primeiro remova a regra de negação que você adicionou:

sudo ufw delete rule_number_here

Em seguida, adicione-o novamente no topo:

sudo ufw insert 1 deny from xx.xx.xx.xx to any

Para mais ref: link

Por favor, note também que o ufw não é a melhor ferramenta para mitigar tais ataques. Tente usar o fail2ban , que pode fazer isso dinamicamente.

Aqui está um tutorial: Como proteger um servidor Apache com o Fail2Ban no Ubuntu 14.04

    
por 12.01.2016 / 16:56