[linux] (weer eens) iptables

Gijs Hillenius gijs op hillenius.net
Vr Feb 17 09:11:46 CET 2006


Hallo

Ik had dit bericht vrijdag verzonden, maar met het verkeerde afzend
adres. Nog eens. 

---->


Als ik, op mijn firewall (annex mailserver/webserver & intern ook
nog fileserver en printerserver) doe:

iptables -L | more

dan is de eerste melding deze:

Chain BLACKLIST (1 references)
target     prot opt source               destination         

(met daarin dan bijvoorbeeld:)

REJECT all  --  host165-230.koszalin.pl anywhere reject-with..(knip) 

(en dan volgt de rest van de tabel, met bijvoorbeeld)

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere

Die chain Blacklist wordt gevoed door het script dat ik haalde van
http://www.pettingers.org/code/sshblack.html

Dat kijkt naar een logfile (tail), slaat aan bij herhaling van een melding,
en geeft het ip-address door aan de blacklist, die het verkeer van dat
ip-address dan even blokkeert.

Mijn twijfels:

Op een eerdere doos (recent vervangen) stond met hetzelfde
iptables-script die Chain BLACKLIST helemaal onderaan. Nu staat ie
helemaal bovenaan.

Maakt dat iets uit?

Waarom vraag ik dat? Ik voed de chain blacklist nu door te kijken naar
twee logfiles, authlog en apach2e/error.log. Het doel is de eindeloze
reeks belletje trekkers in te dammen. Ze slaan aan op "illegal user"
(ssh) en "File does not exist" (apache).

Bellen ze vaker dan vijf keer achtereen, dan blokkeer ik ze tijdelijk.


Stukje uit de log van het script dat staart naar apache2/error.log

Watching 62.108.165.230 on Fri Feb 17 05:21:56 2006
Watching 62.108.165.230 on Fri Feb 17 05:22:00 2006
62.108.165.230 being blocked because of File does not exist, 
     Blacklisted Fri Feb 17 05:22:00 2006
-------------------------------------------
Watching 62.108.165.230 on Fri Feb 17 05:22:05 2006
Watching 62.108.165.230 on Fri Feb 17 05:22:06 2006
Watching 62.108.165.230 on Fri Feb 17 05:22:07 2006


Ik lees het zo: hij blokkeert hem, en vervolgens ziet ie hetzelfde
adres nog een paar maal langs komen. Dat zou toch niet moeten?


Dank alvast voor hints.

Grt

Gijs

-- 
All people are born alike -- except Republicans and Democrats.
		-- Groucho Marx



More information about the Linux mailing list