Стук-стук, пустіть на SSH

[Володимир Лісівка]

Знайшов в інтернеті таку пораду:

Код: [Вибрати]

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1599 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1600 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1601 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP
22-ий порт закритий доки не стукнешся на 1600.

Код: [Вибрати]

telnet myhost 1600тоді IP заносится в список, тепер можна і на 22-ий з'єднуватися...

http://www.opennet.ru/opennews/art.shtml?num=7471

[borman]

http://www.zeroflux.org/knock/

Майже те ж саме, але більш конструктивно і витончено.

[Володимир Лісівка]

Мені приклад з iptables сподобався тим, що не вимагає ніяких додаткових засобів ні на стороні клієнта ні на стороні сервера. Він просто дозволяє маякнути серваку - я свій, пусти мене на SSH.

Knockd робить трохи не те - він дозволяє виконувати певні команди на сервері з допомогою одного чи кількох TCP чи UDP пакетів, наївно сподіваючись що ніхто ніколи не перехватить цю послідовність і не використає її для DOS.

[PAL]

Мені бльше подобається трохи інше рішення
Щось на зразок:

# Brute force attack protection
-N SSH_BF
-A INPUT -p tcp --dport 22 -s ! 192.168.0.0/24 -m state --state NEW -m recent --name SSH --set --rsource -i eth1 -j SSH_BF
-A SSH_BF -m recent ! --rcheck --seconds 120 --hitcount 8 --name SSH --rsource -j RETURN
-A SSH_BF -j LOG --log-prefix "SSH Brute Force Attempt:  "
-A SSH_BF -j DROP

Дуже цікаво потім логи розгрібати  

А постукати до нестандартного порту не завжди можливо