Carlos E. R. wrote:
No es cierto. Lo he enviado en una respuesta anterior: http://lists.opensuse.org/opensuse-es/2010-05/msg00639.html
Claro que es cierto, y ya vi tu correo antes.
Yo lo que he dicho es que no puedes hacer una solución basada unicamente en iptables para defender el apache, de la forma propuesta por Camaleón:
iptables -A INPUT -s IP-ADDRESS -j DROP
porque para eso tienes que saber la IP y en esa solución no se indica como se obtiene.
Si puedes y además sin necesidad de saber la IP que ataca. El método es sencillo: instalar una regla iptables que te loguee todo el tráfico al puerto 80 sin bloquear absolutamente nada y con un proceso de HIDS te irá bloqueando "al vuelo" todas las IP's "enemigas", por llamarlo de alguna manera.
. No, tiene que ser automático, el apache tiene que decirle a "X" que le bloquee tal IP. Ese es el intrígulis del asunto.
Apache aquí no pinta nada, si no quieres.
Claro que pinta. Es el atacado, y es el único que sabe si la petición de pagina web es correcta, o piden una pagina falsa o una típica de un ataque.
Apache no pinta nada por el hecho de que iptables es el que va a interceptar la comunicación antes de que llegue al apache y en base a parámetros que tú puedes darle a iptables (como conexciones por segundo, etc), éste tomará un decisión de dejar pasar el paquete o no. Apache no se entera de nada y no tiene que hacer nada. Es muy sencillo. Mira esta regla: "iptables -I FORWARD -j QUEUE" Esta regla es la que se utiliza en snort en modo inline, o sea IPS. Aquí snort captura TODO, absolutamente todo, y toma decisiones antes de que la comunicación llegue al daemon que corresponda ... Esas "decisiones" las toma en base a firmas aunque otros IPS lo hacen también por heurísitica. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org