[Postfixbuch-users] OT: Firewallalternativen

Helmut Hullen Hullen at t-online.de
Sa Jun 22 11:40:00 CEST 2013


Hallo, Hajo,

Du meintest am 18.06.13:

> mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables
> oder andere Software?

Ja - ist hier eher off topic ...

> Wir kucken per fail2ban und anderen Methoden verschiedenste Logs
> durch und sperren IPs temporär wenn zu viele Fehllogins oder andere
> Hackversuche festgestellt wurden.
> Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht
> mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden,
> dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht
> mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr
> iptables einfach effizienter?

Zu dem Problembereich findest Du ganz aktuell in "Linux-user" 07/13  
einen längeren Artikel:

"Türsteher", Seite 26-31

-------------------

Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von  
Script-Kiddies kommen, einen Abschnitt in der "iptables"-Konfiguration:


# ----------------- Skript-Teil ein -------------------

WAN=ppp+ eth1
IPTABLES_BIN=/usr/sbin/iptables
# diese beiden Variablen sind anzupassen

	for Interf in $WAN; do
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
	-m recent --set --name SSH
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
	-m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
	-j REJECT --reject-with tcp-reset
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
	-j ACCEPT
   done

# Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
# pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
# "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
# de.comp.os.unix.networking.misc
# siehe auch
# http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/3

# ----------------- Skript-Teil aus -------------------

Kappt die Verbindung, wenn mehr als 4 Versuche binnen 60 Sekunden
auflaufen.

Und lässt sich auch für andere Ports als nur 22 einstellen.

Ok - das hakt (natürlich), wenn ein gewollter Automat derart hektisch anklopft.

Und es hakt auch bei langsamen Kiddy-Skripts (die ich in den letzten 12  
Monaten zweimal erlebt; etwa alle 30 Sekunden ein neuer Versuch). Aber
da komme ich in die Gegend von tüdeligen erlaubten Benutzern, die sich  
immer wieder vertippen.

Abhilfe: weitere Regel

$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
	-m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH \
	-j REJECT --reject-with tcp-reset

Am Rande: Abbruch nach 3 oder 4 Misserfolgen ist auch an anderen Stellen  
eingestellt; da mault niemand.

Und bei SSH habe ich zusätzlich in "/etc/ssh/sshd_config"

        PermitRootLogin without-password

eingestellt; da muss das Kiddy-Skript 2 Passwörter erraten oder sonstwie  
erschnüffelt haben, um "root"-Rechte zu bekommen.

-------------------------------------------------------

Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa 3  
bsi 4 abgewimmelte Versuche.

Viele Gruesse!
Helmut



Mehr Informationen über die Mailingliste Postfixbuch-users