[linux] Re: reject-with icmp-host-prohibited

Gijs Hillenius meetingman op nllgg.nl
Zo Sep 25 13:40:21 CEST 2005 

>>>>> Gijs Hillenius writes:

>>>>> M Piscaer writes:
    >> Op 25-sep-2005, om 11:34 heeft Gijs Hillenius het volgende
    >> geschreven:

    >>>>>>>> M Piscaer writes:
    >>>>>>>> 
    >>>
    >>>> Op 25-sep-2005, om 10:47 heeft Gijs Hillenius het volgende
    >>>> geschreven:
    >>>> 
    >>>
    >>>>> Hoi
    >>>>> 
    >>>>> Ik gebruik een script,
    >>>>> http://www.pettingers.org/code/sshblack.html, dat naar een
    >>>>> log staart, pogingen ziet van herhaalde ssh inlog-pogingen
    >>>>> en dan die ipadressen blockt met bijvoorbeeld REJECT all --
    >>>>> 210.16.20.9 anywhere reject-with icmp-host-prohibited
    >>>>> 
    >>>>> Ik heb het onbestemde gevoel, echter, dat het niet werkt.
    >>>>> 
    >>>>> In het logbestand van het script zie ik:
    >>>>> 
    >>>>> Watching 210.16.20.9 on Sat Sep 24 21:05:32 2005 Watching
    >>>>> 210.16.20.9 on Sat Sep 24 21:05:34 2005 Watching 210.16.20.9
    >>>>> on Sat Sep 24 21:05:37 2005 Watching 210.16.20.9 on Sat Sep
    >>>>> 24 21:05:40 2005 Watching 210.16.20.9 on Sat Sep 24 21:05:43
    >>>>> 2005 Watching 210.16.20.9 on Sat Sep 24 21:05:46 2005
    >>>>> Watching 210.16.20.9 on Sat Sep 24 21:05:50 2005
    >>>>> 
    >>>>> 
    >>>>> met andere woorden, 210.16.20.9 blijft maar op mijn ssh-bel
    >>>>> drukken; ik zou denken dat ie na een keer een reject
    >>>>> geblokked wordt, voor de gewenste drie minuten? of?
    >>>>> 
    >>>>> 
    >>>
    >>>> Wordt dit ip adres wel in de firewall gezet. En op de juiste
    >>>> plek?
    >>>> 
    >>> iptables -L levert:
    >>> 
    >>> 
    >>> Chain BLACKLIST (1 references) target prot opt source
    >>> destination REJECT all -- 210.16.20.9 anywhere reject- with
    >>> icmp-host-prohibited
    >>> 
    >>> 

    >> Komt dit pakket ook langs deze regel? Zo ja dan zou je mogen
    >> denken dat het werkt.

     > A.. dat is een goede clue. Het is de laatst regel van de
     > iptables -L output. Dus wellicht krijgt de ssh-belletje trekker
     > al eerder toegang...?

Ik vergeet dat de chain INPUT deze regel heeft:

BLACKLIST  tcp  --  anywhere anywhere tcp dpt:ssh
flags:SYN,RST,ACK/SYN

More information about the Linux mailing list