SSHGuard - Configurar netfilter / iptables

1

Eu tenho uma pergunta sobre a configuração / modus operandi do SSHGuard.

Eu gostaria de bloquear ataques de força bruta ssh que ocorrem cerca de 3 vezes por segundo. Estou em uma instância do Amazon, o login com senha está desativado e o ssh funciona somente com chaves públicas / privadas.

Eu gostaria de usar o SSHGuard para bloquear os IPs, mas preciso que SSH, HTTP, HTTPS e DNS estejam abertos. A questão é: o SSHGuard reconhece e bloqueia (dependendo dos arquivos de log) o ataque com a seguinte configuração (tirada do doc), ou isso significa que o ssh ainda está aberto? A documentação não é útil para mim, é por isso que estou perguntando.

iptables -N sshguard
# block whatever SSHGuard says be bad ...
iptables -A INPUT -j sshguard
# enable ssh, dns, http, https
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# and block everything else (default deny)
iptables -P INPUT DROP

Obrigado antecipadamente.

    
por user937284 12.03.2013 / 11:56

1 resposta

1

Esta é a configuração do utilitário iptables - firewall. Não tem conhecimento do que o SSHGuard faz.

Eu vejo que as portas estão abertas (22, 53, 80, 443).

Mas todo pacote de entrada (!) vai para sshguard table de iptables first. Se o sshguard deixar passar, o pacote pode alcançar a porta 22, 53, 80 ou 443. Se for destinado a outra porta, ele será descartado.

    
por 12.03.2013 / 12:18