Вот кто-то атакует мой сервер грубой силой уже несколько дней, каждый раз через другой внешний IP-адрес (пока сотни), но всегда через один и тот же, я предполагаю, локальный IP-адрес: 192.168.2.33
Вопрос в том, есть ли способ создать правило iptable для блокировки по этому конкретному внутреннему IP-адресу независимо от используемого внешнего IP-адреса? Я пробовал заблокировать этот IP-адрес прямо в CSF, но безуспешно.
2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
2014-08-07 15:52:17 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
У меня была точно такая же проблема. Iptables - хорошая идея, но вы также можете использовать hosts. [Allow | deny], что, на мой взгляд, немного проще.
пример
Особо строгий пример - белый список только. Сначала все отрицай:
# cat /etc/hosts.deny
ALL: ALL
И разрешающие правила:
# cat /etc/hosts.allow
sshd: 192.168.0.100
Кроме того, это хорошая статья:
http://www.debian-administration.org/article/87/Keeping_SSH_access_secure