O que é uma boa solução para um daemon iptables adaptativo?

Navegue suas respostas
1

Estou executando uma série de servidores da Web e já tenho um bom conjunto de regras de firewall configuradas, mas estou procurando algo para monitorar o tráfego e adicionar regras conforme necessário. Eu tenho o monitoramento denyhosts para logins SSH ruins, e isso é ótimo - mas eu adoraria algo que eu pudesse aplicar a toda a máquina que ajudasse a impedir ataques de força contra os meus aplicativos da Web e adicionar regras para bloquear IPs que exibam evidências de ataques comuns.

Eu vi o APF, mas parece que ele não foi atualizado em vários anos. Ainda está em uso e seria bom para isso? Além disso, que outras soluções estão por aí que manipulariam o iptables para se comportarem de alguma forma adaptativa?

Estou executando o Ubuntu Linux, se isso ajudar.

    
por Matt 27.12.2010 / 04:29

4 respostas

1

Sou muito fã de fail2ban

link

Aqui está uma lista dos principais recursos disponíveis no Fail2ban. 

Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
    
por 27.12.2010 / 05:59
1

Saiba mais sobre ipset , dos criadores de iptables .

Em seguida, aprenda como usar o -j SET target; preferencialmente em combinação com -m recent -m limit e / ou -m hashlimit .

Boa sorte, jovem Jedi! : -)

(Já que você está usando o Ubuntu, você deve instalar o ipset da fonte; veja meu blog para o HOWTO: link )

    
por 08.03.2011 / 11:00
0

O csf deve funcionar bem - GRÁTIS e bem mantido.

    
por 27.12.2010 / 05:00
0

É um pouco exagerado, mas há um grande projeto chamado OSSEC, ele pode monitorar os logs do servidor e se ele vir algo suspeito (ele tem uma lista de regras e você pode escrever o seu próprio), ele pode bloquear o IP remoto.

Você não pode chamá-lo de iptables daemon, mas é muito mais poderoso que o denyhost.

    
por 27.12.2010 / 05:13

Tags

OEM para Máquina Virtual para Recuperação de Diaster / Continuidade de Negócios [duplicado] pergunta de cluster do MySQL