[linux] Re: reject-with icmp-host-prohibited

M. Piscaer michiel op piscaer.com
Zo Sep 25 14:29:20 CEST 2005 

1
Op 25-sep-2005, om 13:40 heeft Gijs Hillenius het volgende geschreven:

>>>>>> Gijs Hillenius writes:
>>>>>>
>
>
>>>>>> M Piscaer writes:
>>>>>>
>>> Op 25-sep-2005, om 11:34 heeft Gijs Hillenius het volgende
>>> geschreven:
>>>
>
>
>>>>>>>>> M Piscaer writes:
>>>>>>>>>
>>>>>>>>>
>>>>
>>>>
>>>>> Op 25-sep-2005, om 10:47 heeft Gijs Hillenius het volgende
>>>>> geschreven:
>>>>>
>>>>>
>>>>
>>>>
>>>>>> Hoi
>>>>>>
>>>>>> Ik gebruik een script,
>>>>>> http://www.pettingers.org/code/sshblack.html, dat naar een
>>>>>> log staart, pogingen ziet van herhaalde ssh inlog-pogingen
>>>>>> en dan die ipadressen blockt met bijvoorbeeld REJECT all --
>>>>>> 210.16.20.9 anywhere reject-with icmp-host-prohibited
>>>>>>
>>>>>> Ik heb het onbestemde gevoel, echter, dat het niet werkt.
>>>>>>
>>>>>> In het logbestand van het script zie ik:
>>>>>>
>>>>>> Watching 210.16.20.9 on Sat Sep 24 21:05:32 2005 Watching
>>>>>> 210.16.20.9 on Sat Sep 24 21:05:34 2005 Watching 210.16.20.9
>>>>>> on Sat Sep 24 21:05:37 2005 Watching 210.16.20.9 on Sat Sep
>>>>>> 24 21:05:40 2005 Watching 210.16.20.9 on Sat Sep 24 21:05:43
>>>>>> 2005 Watching 210.16.20.9 on Sat Sep 24 21:05:46 2005
>>>>>> Watching 210.16.20.9 on Sat Sep 24 21:05:50 2005
>>>>>>
>>>>>>
>>>>>> met andere woorden, 210.16.20.9 blijft maar op mijn ssh-bel
>>>>>> drukken; ik zou denken dat ie na een keer een reject
>>>>>> geblokked wordt, voor de gewenste drie minuten? of?
>>>>>>
>>>>>>
>>>>>>
>>>>
>>>>
>>>>> Wordt dit ip adres wel in de firewall gezet. En op de juiste
>>>>> plek?
>>>>>
>>>>>
>>>> iptables -L levert:
>>>>
>>>>
>>>> Chain BLACKLIST (1 references) target prot opt source
>>>> destination REJECT all -- 210.16.20.9 anywhere reject- with
>>>> icmp-host-prohibited
>>>>
>>>>
>>>>
>
>
>>> Komt dit pakket ook langs deze regel? Zo ja dan zou je mogen
>>> denken dat het werkt.
>>>
>
>
>> A.. dat is een goede clue. Het is de laatst regel van de
>> iptables -L output. Dus wellicht krijgt de ssh-belletje trekker
>> al eerder toegang...?
>>
>
> Ik vergeet dat de chain INPUT deze regel heeft:
>
> BLACKLIST  tcp  --  anywhere anywhere tcp dpt:ssh
> flags:SYN,RST,ACK/SYN
>
>
>

Als ja iptables -nvL wat krijg je dan als output regel?

Als je dan een regel krijgt als
     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0             
0.0.0.0/0           tcp spts:1024:65535 dpts:1717:1719

betekend dat er nog geen pakketten langs gekomen.

Groet,

Michiel


michiel op piscaer.com

VoIP adres: michiel op piscaer.com
Jabber: masterpe op myjabber.net
MSN: my op masterpe.nl
Tel: 045-6454166
Mob: 06-16048782

Middels gizmo is het mogelijk om dit VoIP adres te bellen. Voor meer  
informatie zie gizmoproject.com

More information about the Linux mailing list