Aqui está alguém fazendo um ataque bruteforce no meu servidor por vários dias agora, cada vez através de um endereço IP externo diferente (centenas até agora), mas sempre através do mesmo eu suponho endereço IP local: 192.168.2.33
A pergunta é, existe uma maneira de criar uma regra iptable para bloquear por esse endereço IP interno específico, independentemente de seu endereço IP externo usado? Eu tentei bloquear esse IP diretamente no CSF, mas sem sucesso.
2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
2014-08-07 15:52:17 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
Eu só tive exatamente esse mesmo problema. Iptables é uma boa idéia, mas você também pode usar hosts. [Allow | deny], o que eu acho é um pouco mais fácil.
Exemplo
Exemplo particularmente estrito - lista de permissões somente . Primeiro negue tudo:
# cat /etc/hosts.deny
ALL: ALL
E as regras de permissão:
# cat /etc/hosts.allow
sshd: 192.168.0.100
Além disso, este é um bom artigo: