Я работаю над созданием некоторых правил брандмауэра, чтобы остановить некоторые атаки методом перебора SSH, которые мы недавно видели на хостах наших серверов ESX. Я пробовал следующие правила из интерфейса командной строки, чтобы сначала заблокировать весь трафик SSH, а затем разрешить два диапазона, которые меня интересуют:
esxcfg-firewall --ipruleAdd 0.0.0.0/0,22,tcp,REJECT,"Block_SSH"
esxcfg-firewall --ipruleAdd 11.130.0.0/16,22,tcp,ACCEPT,"Allow_PUBLIC_SSH"
esxcfg-firewall --ipruleAdd 10.130.0.0/16,22,tcp,ACCEPT,"Allow_PRIVATE_SSH"
Однако эти правила не работают должным образом. Я знаю, что если вы сначала не введете правило блокировки, то разрешающее правило не будет обработано. Теперь у нас возникла проблема, когда первое введенное разрешающее правило игнорируется, так что правило блокировки работает, а последнее введенное разрешающее правило работает. Мне было любопытно, есть ли у кого-нибудь идеи, как я могу разрешить несколько разных диапазонов IP-адресов с esxcfg-firewall --ipruleAdd команда? Я в растерянности, и мне трудно найти примеры или дополнительную документацию по этому поводу.
Заранее благодарим за помощь в этом.
Это не брандмауэр, но почему бы просто не изменить порт, на котором работает SSH? Он не остановит никакие атаки методом грубой силы, которые нацелены конкретно на вас, но предотвратит выполнение этих атак случайными ботами, которые бродят по Интернету. Это кажется довольно простым делом: http://www.vm-help.com/esx40i/ESXi_enable_SSH.php