Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2006-09-26 15:16:58
snarek - Użytkownik
- snarek
- Użytkownik
- Skąd: Bialystok
- Zarejestrowany: 2006-03-11
Wpuszczanie przedzialu IP na serwer, ssh
Czesc. Mam taki problem. Jakis "automacik" caly czas probuje zalogowac mi sie przez SSH... praktycznie co sekunde. Loguje sie na serwerze z neostrady takze zawsze mam inne ip. Chcialbym wpuscic pewnien przedzial IP na serwer. Jak powinna wygladac regulka dla IPTABLES?
Pozdrawiam
Snarek
Offline
#2 2006-09-26 15:33:00
Ulter - 
Użytkownik
- Ulter
- Użytkownik
- Zarejestrowany: 2006-03-15
Re: Wpuszczanie przedzialu IP na serwer, ssh
Czesc. Mam taki problem. Jakis "automacik" caly czas probuje zalogowac mi sie przez SSH... praktycznie co sekunde. Loguje sie na serwerze z neostrady takze zawsze mam inne ip. Chcialbym wpuscic pewnien przedzial IP na serwer. Jak powinna wygladac regulka dla IPTABLES?
Pozdrawiam
Snarek
a nie lepiej zmienić domyślny port nasłuchu?
Offline
#3 2006-09-26 15:34:43
snarek - Użytkownik
- snarek
- Użytkownik
- Skąd: Bialystok
- Zarejestrowany: 2006-03-11
Re: Wpuszczanie przedzialu IP na serwer, ssh
Moze i lepiej;] Jak to zrobic?:p Jestem takze ciekawy czy da sie cos takiego z IPTABLES zrobic ja napisalem wyzej;p
Pozdr.
Offline
#4 2006-09-26 17:46:46
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: Wpuszczanie przedzialu IP na serwer, ssh
Proponuje spróbować tego:
http://dug.net.pl/faq/faq-3-140-Blokowanie_ssh_po_n … logowania.php
Offline
#5 2006-09-26 18:30:18
snarek - Użytkownik
- snarek
- Użytkownik
- Skąd: Bialystok
- Zarejestrowany: 2006-03-11
Re: Wpuszczanie przedzialu IP na serwer, ssh
Bardzo ciekawe rozwiazanie. Dzieki:)
Pozdr.
Offline
#6 2006-09-27 03:44:29
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: Wpuszczanie przedzialu IP na serwer, ssh
No , ciekawe i tylez pomocne ile szkodliwe :) Mialem tak zrobione na jednym z serwerow, bo draznila mnie czestosc atakow slownikowych, ale skutek byl taki ze czesto przez to sam nie moglem sie zalogowac na niego... :P Jest inne rozwiazanie - niejako knock-knock czyli specjalny uklad pingow na scisle okreslone porty ktory dopiero przerestartowuje inetd i otwiera Ci port ssh. Jesli nie "wydzwonisz" okreslonej sekwencji pingow to normalnie port ssh jest zamkniety .
Co do regolki iptablesow polecam www.netfilter.org - oczywiscie mozna wyblokowac cala galaz adresow (np uzywajac polaczenia adres/maska - wybierajacego iptables -I INPUT -p tcp -s 80.55.00.00/16), tylko czy znasz je wszsytkie ?? no i druga sprawa - czy ktos kto ci robi te przyjemnosci nie zechceskorzystac z jakiegos proxy ?
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
Offline
#7 2006-09-27 12:08:29
Szczur[R] - Użytkownik
- Szczur[R]
- Użytkownik
- Skąd: Czestochowa
- Zarejestrowany: 2006-03-29
Re: Wpuszczanie przedzialu IP na serwer, ssh
ja poprostu mam polise w input na drop i wpuszczam tylko to co mi potrzebne i z kad mi potrzebne.
Wszystkie routerki i inne male maszyny wpuszczaja jedynie polaczenia ssh z jednego serwera, ktory jest publicznie dostepny.
Wiec jesli chce sie zalogowac na cokolwiek to musze to zrobic za jego posrednictwem. A na tym serwerze znowy stoi sobie portsentry i jak wykryje kilkanascie prob logowania na ssh/pop3 czy inne rodzaje nawiazywanych polaczen z jednego ip to wrzuca delikwenta do hosts.deny i dziekuje :-)
Dobrym sposobem jest zmiana domyslnego portu ssh + portsentry zabezpiecjacy przed skanowaniem. Mozna tez zablokowac mozliwosc pingowania naszej maszynki: ograniczy to wierzcie mi ilosc atakow o ponad polowe bo bedziemy troszke "mniej widoczni" w sieci.
pozdr
Offline