0

PF -> FreeBSD # Блокировка IP — защита от брутфорса

Делаем блокировку ip в соответствии с таблицей PF, как один из вариантов защиты от bruteforce-атак. Для примера я выбрал сервис SSH, но суть дела не меняет, так что подойдёт для чего угодно.

Правим конфиг PF:

vi /etc/pf.conf

table <sshblock> persist # создать таблицу sshblock

pass in on $if_ext proto tcp from any to any port 22 \
synproxy state (max-src-conn-rate 2/60, overload <sshblock> flush global) # пропустить TCP трафик пришедший на интерфейс if_ext от кого угодно и куда угодно для порта 22, при установлении более двух соединений за 60 секунд занести инициализатора соединения в таблицу sshblock, сбросить соответствующие ему записи в таблице состояний PF

block in log quick from <sshblock> # заблокировать и записать в лог всех из таблицы sshblock

сохраняем изменения, дёргаем PF:

pfctl -f /etc/pf.conf

смотрим лог и тестим с удалённой машины:

tcpdump -i pflog0

смотреть таблицу sshblock:

pfctl -t sshblock -Ts

удалить запись из таблицы:

pfctl -t sshblock -Td xxx.xxx.xxx.xxx

очистить всю таблицу:

pfctl -t sshblock -Tf

смотрим статистику:

pfctl -t intruder-ftp -Ts -v

Для периодической очистки таблицы используем cron:

crontab -e
@hourly         /sbin/pfctl -t sshblock -T expire 86400 # Каждый час удалять записи из sshblock старше суток

Настройка и администрирование Windows/Linux, сетевого оборудования D-link, cisco | hotbits.ru

likealol

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *