bloqueando brute force no ssh com ipt_recent

O módulo recent do iptables é muito útil e prático para bloquear tentativas de acesso ao ssh via brute force. Um exemplo de uso:

$IPTABLES -N recent_drop_log
$IPTABLES -A recent_drop_log -j LOG --log-prefix "recent_drop_log "
$IPTABLES -A recent_drop_log -j DROP

# ssh
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22  --syn \
        -j LOG --log-prefix "ssh "
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22  --syn  \
        -m recent --update --seconds 40 --hitcount 4 --name SSH --rsource \
        -j recent_drop_log
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22  --syn  \
        -m recent --set --name SSH --rsource -j ACCEPT

No exemplo, ao ocorrer 4 aberturas de conexão ao ssh em até 40 segundos faz com que demais tentativas sejam “dropadas” automaticamente, até que se passe uma janela do mesmo tempo sem tentativas de conexão.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: