[FUG-BR] Regras IPFW
Francisco Ricardo Batista Cardoso
fricardo.cardoso em gmail.com
Terça Maio 8 10:29:25 BRT 2007
On 5/7/07, Renato Luiz de Sousa <rensousa em iqm.unicamp.br> wrote:
> Bom dia amigos da lista!!!
> Tenho notado no log do meu firewall diversas conexões quem tem o mesmo
> padrão:
> um host origem -> muitos hosts da minha rede portas
> (1026/udp,1027/udp,22/tcp, etc)
>
> Os 2 primeiros são uma tentativa de explorar alguma vulnerabilidade e o
> terceiro é o classico brute-force ssh.
> Será que tem como fazer uma regra limitando o numero de conexão (tcp e
> udp) de um determinado host para *vários* hosts da minha rede???
>
> Por exemplo:
> Vamos supor que posso limitar esse numero a 5 conexões. Todo o host que
> enviar pacotes para mais de 5 hosts diferentes na minha rede será
> bloqueado por n minutos.
>
> Abraços,
>
> Renato
>
> --
> ---------------------------------------------
> Renato L. Sousa - Administrador de Redes
> Instituto de Química - UNICAMP
> Campinas - SP
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Se eu entendi direito, você quer algo mais ou menos assim:
ipfw add allow tcp from any to me 22 limit src-addr 2
Neste caso é limitado a duas conexões por origem. Outras opções veja a
option limit na man page do ipfw.
limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified.
Dê uma olhada nas recomendações do CERT-BR para evitar abuso de ssh.
http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
Bom trabalho!
--
Francisco Ricardo
I3C - Treinamentos e Soluções Open Source
Natal/RN
Mais detalhes sobre a lista de discussão freebsd