-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-08-27 a las 23:17 +0200, J.M.Queralt escribió:
Camaleón> iptables -A INPUT -p tcp --dport 110 --syn -m recent --name pop3attack Camaleón> --update --seconds 60 --hitcount 6 -j LOG --log-prefix 'POP3 attack: '
El truco está ahí arriba.
"LOG" se refiere a un "modulo de objetivos" (target module) extendido que hace referencia, en resumen, al fichero /var/log/messages salvo que en el fichero de configuración de syslog se especifique otra cosa y log-prefix es quien escribe en message el "tag"
¿Mande? Que yo sepa eso es sólo para definir que mensaje debe escribir la regla en el syslog cuando salte y rechace una conexión. No anda mirando en el log a ver si el sshd ha aceptado o rechazado la conexión. Son tres intentos por minuto, independientemente de si fallan o no: eso es lo que siempre he entendido.
La otra parte del truco esta en "recent" que crea una lista de IPs para hacer la comparación
Camaleón> Camaleón> Ahhh... ya, por el --syn. Grosso modo, al especificar el "tcp --syn" Camaleón> estás buscando una conexión "no completada" o "no finalizada" y Camaleón> descartando "las válidas" o "finalizadas".
Sip, esta es la tercera parte del truco
Eso si, pero la conexión al servidor ssh o pop3 ya se ha hecho, es completa a efecto de paquetes. Se hace la conexión completada y entonces se inicia un dialogo de autentificación, que es el que falla (a nivel de aplicación). - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIuE1/tTMYHG2NR9URAoSwAJ4mWp+moFs1ncxDWN4Z3UfMcBQo0gCfV+2a 6QbKseeHBqjdSHa05c1EnUU= =9UCX -----END PGP SIGNATURE-----