Назад | Перейти на главную страницу

заблокировать внутреннюю атаку методом перебора IP

Вот кто-то атакует мой сервер грубой силой уже несколько дней, каждый раз через другой внешний IP-адрес (пока сотни), но всегда через один и тот же, я предполагаю, локальный IP-адрес: 192.168.2.33

Вопрос в том, есть ли способ создать правило iptable для блокировки по этому конкретному внутреннему IP-адресу независимо от используемого внешнего IP-адреса? Я пробовал заблокировать этот IP-адрес прямо в CSF, но безуспешно.

2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
2014-08-07 15:52:17 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)

У меня была точно такая же проблема. Iptables - хорошая идея, но вы также можете использовать hosts. [Allow | deny], что, на мой взгляд, немного проще.

пример

Особо строгий пример - белый список только. Сначала все отрицай:

# cat /etc/hosts.deny
ALL: ALL

И разрешающие правила:

# cat /etc/hosts.allow
sshd: 192.168.0.100

Кроме того, это хорошая статья:

http://www.debian-administration.org/article/87/Keeping_SSH_access_secure