Bonsoir,
Guillaume Allegre a écrit :
> Le lun 19 nov 2007 à 19:29 +0100, Olivier Allard-Jacquin a écrit :
>
>> - Avec netfilter/iptables, si on veut laisser le port 22 ouvert mais en
>> le protégeant un minimum, il suffit d'écrire :
>> iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j
>> ACCEPT
>> iptables -A OUTPUT -p tcp --sport 22 -m state--state ESTABLISHED -j ACCEPT
>> Avec ceci, les connexions ssh "normales" seront autorisées. Par contre,
>> les "bidouillages" avec des fausses handshake, de la "prise
>> d'empreinte", etc... seront bloqués.
>>
>> Pour plus d'infos sur le firewall sous Linux :
>> http://olivieraj.free.fr/fr/linux/information/firewall/
>
> Je propose aussi une solution que je n'ai pas vu indiquée ici :
> elle permet de limiter la fréquence d'accès au port 22 (ou autre)
> pour chaque IP, individuellement :
>
> # Pas plus de 2 tentatives SSH par minute
> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
>
>
> Tout repose sur l'utilisation de l'extension "recent" de netfilter.
> Très efficace pour "nettoyer" les logs des tentatives à rallonge...
Dans le même genre d'idée, il y a aussi "--limit" qui doit permettre le
même genre de chose. J'ignore ce qui est le plus efficace :
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit
--limit 2/minute -j ACCEPT
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
