[FUG-BR] Doorman com PF
Éderson Chimbida
chimbida em gmail.com
Qui Nov 3 17:58:47 BRST 2005
Em 03/11/05, Mauro Felipe<maurofelipe em gmail.com> escreveu:
> Em 01/11/05, Rainer Alves<freebsd em powered.net> escreveu:
> > Mauro Felipe wrote:
> >
> > >Amigos,
> > >
> > >Alguém já utilizou o doormand em um FreeBSD com PF?
> > >
> > >Não estou conseguindo fazer funcionar. A instalação foi bleleza, mas
> > >quando rodo o cliente ele não libera a porta que eu quero no firewall.
> > >
> > >Maiores informações sobre o doorman: http://doorman.sourceforge.net/
> > >
> > >O debug mostra a conexão do cliente, a execução do script para liberar
> > >a porta no firewall e logo em seguida fecha a porta! Não entendi!
> > >
> > >
> >
> > Mauro,
> >
> > O doormand.cf tem um parâmetro chamado "connection_delay_1", em que o
> > padrão é 1/10 de segundo entre o primeiro SYN e o término do handshake
> > com o daemon.
> > Tente alterar os seguintes parâmetros no doormand.cf e reinicie o
> > daemon.. veja se isso resolve o seu problema:
> >
> > connection-delay-1 1000000000
> > connection-delay-2 60
> > waitfor 60
> >
> > (o "connection-delay-1" é definido em microsegundos, e o valor que vem
> > na conf padrão é 100000 = 1/10 de segundo).
> >
> > Att.,
> > Rainer Alves
> > BrasilTelecom
> >
> >
> >
> > _______________________________________________
> > Freebsd mailing list
> > Freebsd em fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
>
> Pessoal,
>
> A configuração estava correta, o que estava faltando era colocar no
> meu arquivo de regras do PF a linha "anchor doorman" que é o
> subconjunto de regras que o doorman vai gerenciar.
>
>
> --
> [ ]´s
>
> Mauro Felipe
Bem sei que a thread não está falando diretamente sobre o brute force
feito no ssh, mas deve ser a provavel causa para instalar o doorman,
só uma dica... usei 2 softwares em conjunto com o snort e consegui
barrar totalmente o bruteforce !
Tenho um OpenBSD rodando o snort+pf e instalei o snort2c ( alternativo
ao snort2pf ) e o mons2c ( limpa a tabela ).
Basta criar a regra para o snort e uma tabela no seu pf !
URL e Documentação para o snort2c
http://snort2c.sourceforge.net/
regra para o snort:
# New rule for catching ssh brute-force attacks
alert tcp $HOME_NET any -> any 22 (msg:"SSH Brute-Force attack";
threshold: type both, track by_src, count 2000, seconds 60;
classtype:trojan-activity; sid:1000281; rev:2;)
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd