Временный бан

0

0

Хочу реализовать фишку - банить айпи на определенный период времени. Маны читал - какие есть еще варианты, кроме каждый промежуток обновлять iptables?

Ссылка

← FF подставляет вбитые значения - это нормально?

что такое /dev/null ? →

Написать свой модуль для iptables :)

AngryElf ★★★★★
(18.09.07 22:59:19 MSK)

Ответ на: комментарий от AngryElf 18.09.07 22:59:19 MSK

ядрённое программирование?

generatorglukoff ★★
(18.09.07 23:01:46 MSK) автор топика

Ссылка

fail2ban?

потырено из ru_linux:
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name port_22_eth0 --rsource -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name port_22_eth0 --rsource
Банить 22-й порт на минуту, если за минуту было установлено соединений больше 4х.

zodiac ★★
(18.09.07 23:02:48 MSK)

Ответ на: комментарий от zodiac 18.09.07 23:02:48 MSK

Насколько я понял, match модуль recent использует для сравнения время последней встречи пакета, а потом использует тоже правило, что и в прошлом случае. Т.е. отсчет производится от последнего пакета + нужно доп. правило, которое показало действие на этот пакет.

У меня цель иная - я хочу забанить по айпи на определенное время (например, на сутки). После завершения этого периода, этот айпишник может иметь свободный доступ к моему серверу.

generatorglukoff ★★
(18.09.07 23:10:14 MSK) автор топика

Ответ на: комментарий от generatorglukoff 18.09.07 23:10:14 MSK

крон выполняется раз, допустим, в 5 минут и чекает кого нужно зобанить а кого разбанить. соотв, обновляет фаервольные рулисы.

isden ★★★★★
(18.09.07 23:18:10 MSK)

Ответ на: комментарий от isden 18.09.07 23:18:10 MSK

PS: но, обновлять нужно не всех, а только тех, для которых нужно совершить действие, т.е. забанить или разбанить. иначе будут коннекты слетать у тех кто работает.

isden ★★★★★
(18.09.07 23:19:01 MSK)

Ссылка

Ответ на: комментарий от isden 18.09.07 23:18:10 MSK

>крон выполняется раз, допустим, в 5 минут и чекает кого нужно зобанить а кого разбанить. соотв, обновляет фаервольные рулисы.

Сообственно я это и реализовал =)
Но:
1. скан имеет свойство быть противным - 10 коннектов за минуту на 80 порт (запрос на px_judge.php), потому нужно банить по первому запросу => нужно мгновенное обновление.
2. разбанивание будет не точнее n секунд = периоду крона

ЗЫ т.е. в настоящий момент модуля для iptables не существует и имеет смысл его написать?

generatorglukoff ★★
(18.09.07 23:22:55 MSK) автор топика

ещё можно использовать at(1)

Adjkru ★★★★★
(18.09.07 23:23:01 MSK)

Ссылка

Ответ на: комментарий от generatorglukoff 18.09.07 23:22:55 MSK

portsentry не покатит?

bakagaijin ★
(18.09.07 23:44:34 MSK)

Ссылка

Ответ на: комментарий от generatorglukoff 18.09.07 23:22:55 MSK

Для iptables был patch из patch-o-matic, который позволял задать интервалы времени, когда это правило срабатывает.

По поводу "нужно мгновенное обновление", надеюсь вы знаете, что при одновременном запуске двух команд iptables, одна из них может не сработать (особенности реализации netlink-socket'а).

>2. разбанивание будет не точнее n секунд = периоду крона

Для меня это смешно. Забанить точно на одни сутки... Если баним на сутки, то какая разница, 24 часа ровно, или 24 часа и 1 минута? А так, отдельная цепочка, в которую уходят только SYN-пакеты на 80 порт...

mky ★★★★★
(19.09.07 16:10:54 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← FF подставляет вбитые значения - это нормально?

Talks

что такое /dev/null ? →

Похожие темы