2008/10/17 (金)

2008-10-17:sshへのアタックをiptablesでブロック

リモートの iptables をいじるのは自殺行為だ、とはよく言われますが、実際に死にました。トホホ。。。

京都のデータセンターに置いているグローバル IP address を持った私のマシンに ssh でつないではいろんなユーザー名のパスワードチャレンジをしてくる子がいて、じゃまくさいので遮断しようというお話。
あ、もちろん、PasswordAuth は切ってあります。

iptables に ipt_recent.ko というモジュールがあります。
今回はこれを使って、「一定時間内に指定回数以上の接続があったら撥ねる」ということを実現するのが今回のお話。
やり方としては以下を実行。

# /sbin/iptables -A INPUT -p tcp --syn -dport 22 -m recent --name SSH --set
# /sbin/iptables -A INPUT -p tcp --syn -dport 22 -m recent --name SSH --rcheck --second 60 --hitcount 6 -j DROP

ひとつめのルールで22番ポートにきた SYN パケットに SSH という名前をつけて記録して、ふたつめのルールで60秒以内の6回のチャレンジ以降は遮断、ということをしています。

が、これを実行したら自分の ssh 接続も切れた。
しかも、再接続もできなくなった。。。(号泣)

しょうがないので、京都の仲間に電話して、現地行って再起動をしてもらいました。
コマンドラインで叩いただけだから、再起動すればすべて忘れてくれます。
やっちまったのが午前中で、夕方前には復旧しました。うーん、がっかりな自分。
再挑戦は自分が現地に行った時にやります。
なにが悪かったんだろうなぁ。。。

comment

2004/01/22 (木)

2004-01-22:kernel mode rp-pppop の MSS

Windows版の apache での https なサービスってどうなんだろう。
PKI 運用して個人証明書で認証して、とかちょっと妄想してみたけど、いかがなものかしら。

comment

2004/01/21 (水)

2004-01-21:kernel mode rp-pppop の MSS

おうちでルータとして働いている OpenBlockS くん(Vine Linux)で、MSS が 1460 になっている設定がなおせなくてながらく困っていたのだが、ようやく解決。rp-pppoe を使っていたのだけど、

kernel mode だと pppoe.conf の CLAMPMSS は見てもらえない

ということらしい。むきゅー。
iptables で設定することで解決をみた。

/sbin/iptables -A FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1413: -j TCPMSS --set-mss 1412

これで MSS が 1412 になって、www.yahoo.co.jp とかが見れるようになった。
ふぅ。

comment