Estou ficando forçado, o que eu faço

2

Estou sendo forçado a usar meu servidor de e-mail, IMAP e POP3. Eu tenho o pacote completo do ASL instalado, mas ele apenas me envia os logs do OSSEC. Como posso proibir o IP?

Eu pensei que o ASL bloqueasse automaticamente esses ataques depois de algumas tentativas erradas. Como posso fazer isso?

    
por Saif Bechan 12.04.2010 / 00:00

3 respostas

4

Se o seu kernel tem suporte para o iptables recent (a maioria faz), algo como o seguinte permitirá 6 conexões em 60 segundos, e depois soltar as conexões daquele endereço IP. Em vez de escrever uma tonelada de regras para bloquear vários IPs, você pode fazer isso.

iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP

como alternativa, se fosse apenas um IP:

iptables -I INPUT -s 1.2.3.4/32 -j DROP

deve fazer uma queda rápida e suja desse IP

    
por 12.04.2010 / 01:15
5

o fail2ban fará o truque.

link

divirta-se.

    
por 12.04.2010 / 01:07
2

Você precisa ativar a resposta ativa no OSSEC para que ele funcione. Verifique no seu ossec.conf para ver se ele está habilitado.

O problema com a solução iptables é que ela não possui conhecimento sobre aplicativos, portanto, um login bem-sucedido ainda pode ser bloqueado.

    
por 12.04.2010 / 15:59