Изпечатай

[HEMABPEME]

от доста време като погледна /var/log/messages се пълни с:
.....................................................................................
Nov 25 16:11:28 sshd[12532]: Failed password for invalid user sys from 64.207.204.14 port 37696 ssh2
Nov 25 16:11:31 sshd[12535]: Invalid user zzz from 64.207.204.14
Nov 25 16:11:31 sshd[12535]: Address 64.207.204.14 maps to 64-207-204-14.ips.mynethost.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Nov 25 16:11:31 sshd[12535]: Failed password for invalid user zzz from 64.207.204.14 port 37770 ssh2
Nov 25 16:11:32 sshd[12538]: Invalid user frank from 64.207.204.14
Nov 25 16:11:32 sshd[12538]: Address 64.207.204.14 maps to 64-207-204-14.ips.mynethost.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
..............................................................
пробвам да огранича достапа до ssh само за IPта от BG по следния начин ...

#! /bin/sh
for IP in `cat /root/bgpeers` ; do
/usr/sbin/iptables -A INPUT -i ethX -p tcp --dport 22 -s ! "$IP" -j REJECT
done

като в bgpeers е актуалното състояние на БГ мрежите взето от BGPview от cisbg.com (от interbgc.com и spnet.net) и powernet.bg (от evro.net)
при изпълнение на горното спира всичко на порт 22 на ethX
а при:
/usr/sbin/iptables -A INPUT -i ethX -p tcp --dport 22 -s ! 192.168.0.0/24 -j REJECT
всичко си е наред обаче допуска единствено локалната мрежа ?!?!?!
каде бъркам ако може да подскаже някой '>
slackware 2.4.31  iptables v1.3.3

[sys7em]

еми помисли малко .. ти какво правиш всъщност ... ако ипто е бг да прави реджект ..

[vlad73]

Вземи си премести sshd на някой друг порт (примерно на 2222 вместо 22) и тези записи в /var/log/messages ще престанат без подобни акробатики.
После за връзката:
ssh $IP -p 2222

Иначе с горното постигаш доста интересен ефект - създаваш купчина правила, които гласят, че ако ip-то което се проверява не е от дадена мрежа, то трябва да се отхвърли... тази ефикасност си се получава и само с 2 такива правила - ако първото е ок и пакета се промъкне, то на следващата проверка вече няма шанс да му се размине REJECT-a '>

[senser]

Аз ограничението на ssh (както и разни други) съм го направил през /etc/security/access.conf и си бачка на 6. Но това е за "pam enabled дистрибуции". Доколкото си спомням примерно слак-а не поддържаше pam, а за другите не знам. Но ако дистро-то ти поддържа pam този вариант не е лош (поне според мен '> )

[HEMABPEME]

след преместване на друг порт сичко е ОК '>
но все пак никой ли няма идея как може да стане с iptables при условие, че имаме всички(или поне всички) BG IPта ?!?!?!

[MiCRo]

... --dport 22 -s $BGNET1 -j ACCEPT
... --dport 22 -s $BGNET2 -j ACCEPT
... --dport 22 -s $BGNET3 -j ACCEPT
... --dport 22 -s $BGNET4 -j ACCEPT
..........................
........................
... --dport 22 -j DROP

Щото както казваш '!' $BGNET1 -j REJECT, автоматично reject-ваш BGNET2,3 и т.н ....
Мисли наобратно... '>

[HEMABPEME]

е точно щото мислия     на обратно то за тва така стана . . .

#
for BG_IP in `cat /etc/bgpeers` ; do
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -s "$BG_IP" -j ACCEPT
done
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
#
сичко е ОК
10x '>