El 27/08/08, J.M.Queralt escribió:
Porque eso sale en los logs del sistema. Solo hay que leerlo. :-)
En este caso concreto tendría que buscar las líneas en /var/log/maillog que indicaran una conexion fallida añadirle el "tag" correspondiente e iniciar el contador.
La linea en maillog seria parecida a esta:
Aug 27 13:59:58 ns1 ipop3d[10338]: pop3s SSL service failed from 83.42.57.XXX
Josep, lo siento, debo estar en plan "ceporro". No lo pillo O:-). Supongamos que pongo: *** # Cambio el puerto al 110 y el nombre de la regla. Inicia el filtro iptables -A INPUT -p tcp --syn --dport 110 -m recent --name pop3attack --set # Cambio el puerto al 110, el nombre de la regla y el nombre de la marca. Se define el contador # a 6 (¿limite de seis conexiones?) y se define el intervalo de tiempo a 60 segundos. Se registra # en /var/log/firewall iptables -A INPUT -p tcp --dport 110 --syn -m recent --name pop3attack --update --seconds 60 --hitcount 6 -j LOG --log-prefix 'POP3 attack: ' # Cambio el puerto al 110, el nombre de la regla y el nombre de la marca. Si se han intentado # seis conexiones dentro de esos 60 segundos, se rechazan las siguientes iptables -A INPUT -p tcp --dport 110 --syn -m recent --name pop3attack --update --seconds 60 --hitcount 6 -j REJECT *** ¿Cómo sabe que esas conexiones son resultan en éxito o son erróneas? :-? Si se hacen 7 conexiones correctas vía pop3 dentro de esos 60 segundos ¿no bloquea la ip?
El script del que hablamos hace lo mismo en el log del var/log/secure
Aug 2 22:52:54 ns1 sshd[15661]: Failed password for invalid user test from ::ffff:218.7.13.215 port 38512 ssh2
Hum...
Lo que te decía, en el SSH funciona. Además solo contará conexiones fallidas, no _todas_ las conexiones.
Lo que no entiendo es cómo detecta esa regla del ipfilter que es una conexión "fallida" o que ha tenido "éxito". ... (¬_¬ leyendo información sobre ipfilter, syn flood, etc...) http://en.wikipedia.org/wiki/SYN_flood Ahhh... ya, por el --syn. Grosso modo, al especificar el "tcp --syn" estás buscando una conexión "no completada" o "no finalizada" y descartando "las válidas" o "finalizadas". *** TCP SYN attack: A sender transmits a volume of connections that cannot be completed. This causes the connection queues to fill up, thereby denying service to legitimate TCP users. *** O.k., aclarado. En ese caso, es posible que me sirva la protección del router :-). De momento no ha registrado ningún intento de acceso, lo voy a dejar registrando durante algún tiempo... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org