Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Spaß mit iptables

Donnerstag, 10. September 2020

Mit iptables kann man auf einem Linux-System festlegen, welche IP bzw. welche IP-Bereiche auf welche Ports bzw. überhaupt auf einen Host zugreifen dürfen. Nun hatte ich vor einiger Zeit festgestellt, daß es sozusagen Port-Sucher gibt, die – schön langsam, damit sie unterm Radar bleiben – nach und nach alles an denkbaren Ports an einem Host abklappern, um zu gucken, ob da vielleicht ein sshd läuft. Denn mittlerweile legt man den sshd nicht auf den üblichen Port 22, sondern auf einen anderen, meist einen so genannten hohen Port (> 1024).

Wenn diese Port-Sucher fündig werden, schicken sie eine ganze Ladung anderer Hosts los, um diesen sshd zu, ähm, belästigen. Das fand ich etwas störend, also wollte ich etwas dagegen unternehmen.

Zu diesem Zweck definierte ich eine Regel, die den Zugang auf den Port des sshd auf ein paar wenige IP-Adressen einschränkt. Auf diesen Server hier kommen seitdem nur noch die Hosts, auf denen ich selbst wiederum einen Shell-Zugang habe, und eben die IP, die mir mein ISP hier zu Hause zugewiesen hat. Praktischerweise schien die letztgenannte IP quasi-fest zu sein; ich meine, die hat sich seit zwei Jahren oder so nicht mehr geändert.

Von Montag auf Dienstag änderte sie sich nun doch. Und damit fing der Spaß an. (mehr …)


Loggen, was iptables wegwirft

Sonntag, 4. Dezember 2016

Um meine Server gegen diverse Arten von Angriffen abzusichern, habe ich fail2ban installiert und mir eine Reihe von Filtern angepaßt oder selbst neu gebaut. Anhand der Filter meldet fail2ban an iptables, welche IPs wie lange gesperrt werden sollen. Das funktioniert soweit ganz gut.

Trotzdem gibt es eine Reihe von IP-Adressen und -Ranges, die man eigentlich nicht fail2ban überlassen muß. Denn sie werden immer und immer wieder in den Filtern landen und immer und immer wieder erneut gebannt werden müssen. Von diesen IPs und -Ranges kommen nämlich ausschließlich Spamkommentare, aggressives Crawling auf Websites, Suchen nach ausnutzbaren Schwachstellen, Einbruchsversuche in Blogs, auf der Shell und in weitere Dienste sowie Spam-Mails. Also will man sie grundsätzlich blocken. Ist mit iptables auch nicht schwer. Aber … (mehr …)