Запобігати нападам SSH

Я намагаюся налаштувати правила iptables, щоб дозволити лише 3 спроби IP за хвилину підключитися до сервіру через SSH та перервати всі з'єднання після запобігання SSH-атакам; але здається, я щось не так роблю!

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

Дякую

Я думаю, вам краще скористатися fail2ban, оскільки ваші правила ipfilter також блокують законні з'єднання. fail2banзаблокує IP-адреси лише після невдалого з'єднання.

Далі, поширена практика - заборонити IP-адреси, коли вони намагаються підключитися до порту 22, і прив’язати ваш ssh-сервер до іншого порту. Тоді ви стикаєтеся лише з парою нелегітимних зв’язків на тиждень, якщо ваш комп'ютер не є загальновідомою ціллю.

Для точного запитання, яке ви задали:

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Ви можете реалізувати те, що ви хочете, за допомогою наступних 2 правил

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

Зауважте, що використання -Aправил додавання правил до кінця ланцюга може привести до ладу при обробці правил iptables, тобто для того, щоб перед досягненням загального DROP або дозволеного правила було досягнуто, ніж вони ніколи не будуть діяти.

Сказавши, що ви також можете знайти fail2ban - це кращий спосіб реалізації цього блоку.

Ви можете спробувати модуль LIMIT.

iptables -A INPUT -p tcp --dport 22 -m limit --limit 3/minute -j ACCEPT