2008/10/17 (金)
2008-10-17:sshへのアタックをiptablesでブロック
リモートの iptables をいじるのは自殺行為だ、とはよく言われますが、実際に死にました。トホホ。。。
京都のデータセンターに置いているグローバル IP address を持った私のマシンに ssh でつないではいろんなユーザー名のパスワードチャレンジをしてくる子がいて、じゃまくさいので遮断しようというお話。
あ、もちろん、PasswordAuth は切ってあります。
iptables に ipt_recent.ko というモジュールがあります。
今回はこれを使って、「一定時間内に指定回数以上の接続があったら撥ねる」ということを実現するのが今回のお話。
やり方としては以下を実行。
# /sbin/iptables -A INPUT -p tcp --syn -dport 22 -m recent --name SSH --set # /sbin/iptables -A INPUT -p tcp --syn -dport 22 -m recent --name SSH --rcheck --second 60 --hitcount 6 -j DROP
ひとつめのルールで22番ポートにきた SYN パケットに SSH という名前をつけて記録して、ふたつめのルールで60秒以内の6回のチャレンジ以降は遮断、ということをしています。
が、これを実行したら自分の ssh 接続も切れた。
しかも、再接続もできなくなった。。。(号泣)
しょうがないので、京都の仲間に電話して、現地行って再起動をしてもらいました。
コマンドラインで叩いただけだから、再起動すればすべて忘れてくれます。
やっちまったのが午前中で、夕方前には復旧しました。うーん、がっかりな自分。
再挑戦は自分が現地に行った時にやります。
なにが悪かったんだろうなぁ。。。
2004/01/22 (木)
2004-01-22:kernel mode rp-pppop の MSS
Windows版の apache での https なサービスってどうなんだろう。
PKI 運用して個人証明書で認証して、とかちょっと妄想してみたけど、いかがなものかしら。
2004/01/21 (水)
2004-01-21:kernel mode rp-pppop の MSS
おうちでルータとして働いている OpenBlockS くん(Vine Linux)で、MSS が 1460 になっている設定がなおせなくてながらく困っていたのだが、ようやく解決。rp-pppoe を使っていたのだけど、
kernel mode だと pppoe.conf の CLAMPMSS は見てもらえない
ということらしい。むきゅー。
iptables で設定することで解決をみた。
/sbin/iptables -A FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1413: -j TCPMSS --set-mss 1412
これで MSS が 1412 になって、www.yahoo.co.jp とかが見れるようになった。
ふぅ。