[linux] Re: reject-with icmp-host-prohibited
Rob Sterenborg
rob op sterenborg.info
Di Sep 27 19:00:53 CEST 2005
> Ik heb weer zo'n ssh-belletje-trekker..
>
> in de log:
> Sep 27 04:02:04 waterstof sshd[15637]: Illegal user test from
> 220.95.212.147 Sep 27 04:02:07 waterstof sshd[15916]: Illegal user
> test from 220.95.212.147 Sep 27 04:02:09 waterstof sshd[16037]:
> Illegal user test from 220.95.212.147 etcetera..
>
> als ik nu kijk in mijn firewall met iptables -nvL
>
>
> dan zie ik
> bij de
> Chain INPUT (policy DROP 2196 packets, 365K bytes)
>
> 0 0 BLACKLIST tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
> flags:0x16/0x0
>
> en bij de
>
> Chain BLACKLIST (1 references)
>
> 0 0 REJECT all -- * * 220.95.212.147
> 0.0.0.0/0 reject-with icmp-host-prohibited
>
>
> dat betekent toch dat er geen pakketten van dat adres zijn geweigerd,
> of? Terwijl dat wel had gemogen :-)
Dat klopt. Er is dus een rule die deze packets al accepteerd voordat de
BLACKLIST chain wordt doorlopen.
Waarschijnlijk heb je ergens bovenaan (!) in je firewall script een rule
in staan die lijkt op :
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Zet die BLACKLIST rule er eens meteen onder zodat er geen rule is die de
packets zal accepteren voordat de blacklist is doorlopen. (Dwz, ik weet
niet hoe de rest van je script er uit ziet dus ik kan er niet voor in
staan...)
Gr,
Rob
More information about the Linux
mailing list