В заметке приведены различные варианты защиты от bruteforce-атак, на примере
блокирования последовательного подбора паролей через ssh.
Общий шаблон правил
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p all -i lo -j ACCEPT
iptables -A OUTPUT -p all -o lo -j ACCEPT
Здесь будут наши правила (вариант)
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Вариант 1, используя модуль recent:
Добавляем ip в таблицу
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK -set
С одного ip разрешаем 2 (--hitcount 3-1) запроса на соединение (NEW) в минуту (60 секунд),
третье блокируется и все последующие в течение минуты
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --update --seconds 60 --rttl --hitcount 3 -j DROP
Разрешаем входящие соединения на 22 порт
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
Вариант 2, используя модуль hashlimit:
С одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m) все
остальные пакеты (NEW) c этого ip блокируется
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \
--hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -j DROP
Разрешаем входящие соединения на 22 порт
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
Вариант 3, используя модули connlimit, limit:
С одного ip разрешаем не больше одно соединения (! --connlimit-above 1) на 22
порт, пропускаем 2 пакета в минуту с запросом на соединение (NEW), все
остальные пакеты (NEW) c этого ip блокируется
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m connlimit ! \
--connlimit-above 1 -m limit --limit 2/m --limit-burst 2 -j ACCEPT
Вариант 4, параноидальный:
Два раза в течение минуты разрешено подключаться к 22 порту, при превышении
порога ip блокируется на 10 минут.
блокируем ip с запросом на соединение (NEW) попавшие в динамически обновляемую
таблицу на 600 секунд
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --rcheck --seconds 600 -j DROP
С одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m), если
превышен порог,то добавляем ip в таблицу BLOCK для блокировки на 600 секунд (10 минут)
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \
--hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP
Разрешаем входящие соединения на 22 порт
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
Комментариев нет:
Отправить комментарий