比较来自世界各地的卖家的域名和 IT 服务价格

如果连接到端口,则暂时阻止与主机的连接 X

我有 Linux VPS, 它不断扫描,被一些欺诈性IP地址攻击。 这 VPS - 我只为我服务的私人服务器,而且我是唯一的用户。 此外,我是唯一必须允许连接到它的用户。

我想问你 ServerFault, 评论我的“解决方案”方法问题,并表明我对他有任何问题,因为我没有经验

iptables

一般来说。

在我的服务器上我使用

dovecot

在港口

993



sshd

在港口

22

. 我将两个服务转移到非标准的端口

X



Y

, 防止众所周知的端口粗糙强度的愚蠢攻击。 至于扫描端口的问题,我决定为标准端口创建一个“陷阱”。

23

(telnetd),

22

(sshd),

110

(pop3),

80

(httpd) 如果防火墙检测到某人想要连接到这些端口,他必须阻止启动包

任何

在下面的源主机的进一步连接 24 几个小时,即使是港口

X



Y

. 为此,我正在努力使用

recent

模块

iptables

:

iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP

根据我的测试,似乎甚至有效,但有

更好的

执行我想要做什么的方法?
已邀请:

帅驴

赞同来自:

我认为这不是一个不合理的配置。 当您在内核空间中做的所有内容 (与类似的东西相比

fail2ban

, 在用户空间中有效,并在核心的消息日志上运行), 它必须非常有效。

然而,请记住,您在这里有严重的攻击类型“未能维持”的潜力。 攻击者可以发送 SYN 使用这些陷阱端口中的任何一个伪造源地址并阻止这些IP地址。 发送足够的包来阻止大多数互联网,它不会非常困难。 您可能希望考虑您通常用于访问服务器的任何地址的白色列表的显式添加。

如果输入您通常用于访问服务器的IP地址的白色列表是不合适的,我认为它不会达到这条路径。

要回复问题请先登录注册