[linux] Re: reject-with icmp-host-prohibited

[Gijs Hillenius]

Dit is een vervolg op mijn vraag van afgelopen zondag,

dat ging over een script dat /var/log/auth.log checkt en bij het
tegenkomen van 'Illegal user' zet ie dat ip adres een paar minuten in
een blacklist.. Ik heb het idee dat het script wel werkt, maar mijn
firewall niet 'af' is, zodat de twee samen toch niet werken..


Ik heb weer zo'n ssh-belletje-trekker..

in de log:
Sep 27 04:02:04 waterstof sshd[15637]: Illegal user test from 220.95.212.147
Sep 27 04:02:07 waterstof sshd[15916]: Illegal user test from 220.95.212.147
Sep 27 04:02:09 waterstof sshd[16037]: Illegal user test from 220.95.212.147
etcetera..

als ik nu kijk in mijn firewall met iptables -nvL


dan zie ik 
bij de 
Chain INPUT (policy DROP 2196 packets, 365K bytes)

0 0 BLACKLIST tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x16/0x0
en 
bij de 
Chain BLACKLIST (1 references)

0     0 REJECT     all  --  *      *       220.95.212.147
0.0.0.0/0           reject-with icmp-host-prohibited


dat betekent toch dat er geen pakketten van dat adres zijn geweigerd,
of? Terwijl dat wel had gemogen :-)