Re: IP-Adresse blockieren

Am 25.04.2015 um 20:07 schrieb jpr.liste01@jpberlin.de:

Am Sat, 25 Apr 2015 15:57:55 +0200 schrieb Walter Ulmke :

Hallo Walter!

Neben dem schon erwähnten fail2ban gibt es noch eine radikalere, dafür aber auch statischere Methode. Hier mußt Du entscheiden, was besser zu Deinen Erfordernissen paßt.

Du kannst in der Firewall bestimmte IP-Adressen bzw. Netzwerksegmente differenziert nach Protokollen und Ports grundsätzlich sperren. Schau Dir dazu mal in /etc/sysconfig/SuSEfirewall2 die Option FW_SERVICES_DROP_EXT="" an. Noch differenzierter geht es in /etc/sysconfig/scripts/SuSEfirewall2-custom

Ich würde die Pakete allerdings nicht mit REJECT, sondern mit DROP verarbeiten. Man muß dem Angreifer nicht noch Informationen liefern.

...

Wenn ich das richtig verstanden habe, geht ein block mit dem Befehl

/sbin/route add -host 222.186.134.98 reject Hier hätte ich erhebliche Bedenken. Wenn ein Angrffspaket bis zu route vordringt, ist das schon viel zu weit. Lt. man-Page zu route benennt -host xxx.yyy.zzz das Ziel (target) des Routings und bei reject wird ausdrücklich darauf hingewiesen, daß es keine Firewall-Funktion ist.

Viele Grüße

Matthias Da Portscans und Angriffe häufig von wechselnden IP-Adressen aus erfolgen (Botnetze) machen statische Zuordnungen keinen grossen Sinn. Beim nächsten Reset der DSL-Verbindung hat der Angreifer eine andere IP-Adresse. Ausserdem gibts Möglichkeiten, die IP-Adresse zu fälschen.

mfg K. Müller