История изменений

Исправление kombrig, 12.01.13 23:23 (текущая версия) :

У меня ssh дает 3 попытки ввода пароля за раз. Брутеров банить можно как-то так.

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 300000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

Итого, если сам облажался, пойду покурю и спокойненько войду после перекура. А брутеры в бане.

А можно замутить порт кнокер.

-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

Для того чтобы открыть 22 порт достаточно и необходимо

ping -s 125 -c 1 $server_ip
ping -s 126 -c 1 $server_ip
ping -s 127 -c 1 $server_ip

Исправление kombrig, 12.01.13 23:22:

У меня ssh дает 3 попытки ввода пароля за раз. Брутеров банить можно как-то так.

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 300000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

Итого, если сам облажался, пойду покурю и спокойненько войду после перекура. А брутеры в бане.

А можно замутить порт кнокер.

-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

Для того чтобы открыть 22 порт достаточно и необходимо ping -s 125 -c 1 $server_ip ping -s 126 -c 1 $server_ip ping -s 127 -c 1 $server_ip

Исходная версия kombrig, 12.01.13 23:22:

У меня ssh дает 3 попытки ввода пароля за раз. Брутеров банить можно как-то так.

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 300000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

Итого, если сам облажался, пойду покурю и спокойненько войду после перекура. А брутеры в бане. А можно замутить порт кнокер.

-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

Для того чтобы открыть 22 порт достаточно и необходимо ping -s 125 -c 1 $server_ip ping -s 126 -c 1 $server_ip ping -s 127 -c 1 $server_ip