Am Sun, 26 Apr 2015 09:59:49 +0200
schrieb Kasimir Müller
Da Portscans und Angriffe häufig von wechselnden IP-Adressen aus erfolgen (Botnetze) machen statische Zuordnungen keinen grossen Sinn. Beim nächsten Reset der DSL-Verbindung hat der Angreifer eine andere IP-Adresse. Ausserdem gibts Möglichkeiten, die IP-Adresse zu fälschen.
mfg
K. Müller
Hallo Kasimir! Nur nochmal zum Verständnis: Bei dem Szenario, das Du beschreibst und das auch nach meinen LOG-Dateien den größten Teil aller Angriffe ausmacht (wechselnde IP-Adressen, evtl. IP-Spoofing) ist fail2ban meistens die bessere Variante. Walter schrieb aber:
ich erlebe immer wieder Angriffsversuche durch berstimmte IP- Adressen.
Wie kann ich diese blockieren?
Offensichtlich konnte er über einen längeren Zeitraum feste IP-Adressen als Angriffsquelle ausmachen, zumindest hatte ich es so verstanden. In dem Falle kann man schonmal diese Adressen oder einen ganzen IP-Bereich statisch aussperren; vorausgesetzt, man erwartet von dort keinen regulären Verbindungsaufbau. Möglicherweise muß man auch beide Varianten kombinieren. Es hängt, wie schon gesagt, immer von den konkreten Umständen, die ich nicht kenne, ab und läßt sich sehr weit ausdifferenzieren. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org