правила для ipfw

[solodorik]

Доброго всем дня! Подскажите пожалуйста правила для ipfw от брутфорса.
sshguard, fail2ban, bruteblock и другие подобные утилиты не подходят, слишком долго работают.
Скрипт лучше, но правило работает быстрее.
Защиты портов уже используется.

[Raven]

Насколько я помню, через голый ipfw это вряд-ли возможно без использования сторонних утилит. Как вариант могу посоветовать
1. - Покурить в сторону pf - помнится где-то натыкался на статейку.
2. - Душить скриптом по крону

[solodorik]

дело в том, что ставить на серваке 2-ой фаервол не совсем разумно )

UP

[Infernal Flame]

solodorik
а заюзать альтернативный порт + запрет на логин рута по ссх не решат половину проблем?

[solodorik]

юзать правила мне нужно для веб сервака, мне нужно блокировать не только 22 порт но ftp,smtp,http, и других портах. неподкасжешь как из заблокировать ?

[Infernal Flame]

solodorik
простой способ: блокировать все, потом разрешать необходимое. При возможности только с определенных адресов (касается ссх)

[Phantom]

Хм. Через IPTables эта задача решается на раз два(хотя одним только фаирволом с брутом не воюют). Неужели ipfw настолько убогий?

Код: Выделить всё

#!/bin/bash
IPT=/sbin/iptables
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}
ТУТ РАЗРЕШИТЬ ПРОХОЖДЕНИЕ ПО 80 ПОРТУ!!!

Вот у меня подобная памятка лежит. Сколько пакетов со статусом NEW разрешено в определенный интервал времени.

[Raven]

Неужели ipfw настолько убогий?

Нет, просто везде есть свои + и минусы. Что касаемо вашей памятки - количество соединений с адреса на единицу времени устанавливать можно и в IPFW как 2 пальца. Просто он не будет дропать полностью если кто-то это значение превысил, он просто подрежет лишнее. А по поводу убогости - холивар батенька! Попробуйте-ка в iptables зарезать скорость без использования внешнего шейпера.

[Phantom]

Не подрезает, а именно дропает. Дропает все что вышло за границы указанного ограничения.
Далее.
Ограничение скорости? Видели и такое. В общем и целом у человека работает.

Код: Выделить всё

/sbin/iptables -N bad_adress 
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80  -j DROP

Сам подобное не использую ибо delay pools. Идеологически конечно не верно, но на ваш вопрос думаю это ответ.
И все это искаропки.
А для большего надо сюда...правдо это уже от скуки скорее всего.
Но вкусного много.
http://www.netfilter.org/

[Raven]

Phantom
Тем самым вы ограничиваете количество пакетов в секунду, а не обьем информации. Пакеты могут быть разного размера, так что этот метод можно использовать максимум при очень жестком ограничении. В данном примере - это порядка до 5-7 кБ/сек. Когда нужна гибкость в шейпинге на Linux - приходится волей-неволей юзать tc и ей подобный софт. В IPFW все гораздо проще и тривиальнее - dummynet весьма мощная вещь.

В отличии от Linux, BSD-системы предоставляют больше простора для работы в качестве фаервола. Взять к примеру pf от OpenBSD - на сегодняшний день это самый легкий и быстрый фаервол для *nix. Портирован во FreeBSD, в которой помимо штатного ее фаервола ipfw имееется также и ipf (NetBSD) - 3 фаервола на 1 операционке, причем все 3 в чем-то "дают курнуть" нетфильтру. А еще, они могут работать параллельно, дополняя друг друга - тогда вообще творятся чудеса.

UPD:

В общем и целом у человека работает.

Хорошо гуглим, да? Я поэкспериментировал:
Смотрим первый линк

Ну раз уж вам скучно, то милости просим почитать также и этот хендбук... и этот... и этот - мировоззрение надо расширять за пределы убунты))