Como interpretar e reagir ao log do Shorewall?

2

Eu vejo o seguinte padrão a cada 2-3 segundos, por vários minutos no syslog:

Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:gg:hh:ii:jj:kk:ll:mm:nn SRC=12.34.56.78 DST=98.76.54.32 LEN=60 TOS=0x00 PREC=0x00 TTL=41 ID=12746 DF PROTO=TCP SPT=41611 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

onde os valores em ID e SPT são diferentes em cada linha. O servidor é Debian 6.0, com shorewall e fail2ban.

Como posso diminuir o que está acontecendo e usar o fail2ban e o shorewall para bloquear melhor isso?

    
por Doka 19.12.2012 / 10:01

1 resposta

1

Minha solução acabou nesse filtro Fail2ban:

failregex = DROP:IN=eth0 OUT= MAC=[a-zA-F0-9:]+ SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
            DROP:IN=eth0 OUT=vmbr0 SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=

adicionado a /etc/fail2ban/filter.d/sshd-ddos.conf

Ele bane essas solicitações na porta ssh.

    
por 23.12.2012 / 09:49