我正在运行一系列Web服务器,并且已经设置了一组相当不错的防火墙规则,但是我正在寻找一些东西来监视stream量并根据需要添加规则。 我有拒绝主机监控不良的SSHlogin,这是伟大的 – 但我喜欢的东西,我可以适用于整个机器,这将有助于防止bute武力攻击我的networking应用程序,并添加规则来阻止显示证据常见的攻击。
我已经看过APF,但看起来好像几年之后还没有更新。 它仍然在使用,这是否有利于这个? 另外,还有哪些其他解决scheme可以操纵iptables以某种自适应的方式运行?
如果有帮助,我正在运行Ubuntu Linux。
我是fail2ban的忠实粉丝
http://www.fail2ban.org/wiki/index.php/Main_Page
以下是Fail2ban中的主要function列表。
Client/Server architecture. Multi-threaded. Highly configurable. FAM/Gamin support. Parses log files and looks for given patterns. Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed. After a given amount of time, executes another command in order to unban the IP address. Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions. Handles log files rotation. Can handle more than one service (sshd, apache, vsftpd, etc). Resolves DNS hostname to IP address. 从iptables的制造商了解ipset 。
然后,学习如何使用-j SET目标; 最好结合-m recent -m limit和/或-m hashlimit -m recent -m limit 。
祝你好运,年轻的绝地! 🙂
(由于您使用的是Ubuntu,所以您必须从源代码安装ipset;请参阅我的博客HOWTO: http : //pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu )
csf应该运作良好 – 免费且维护良好。
这有点矫枉过正,但有一个伟大的项目称为OSSEC,它可以监视服务器日志,如果看到有些可疑(它有规则列表,你可以写自己的),它可以阻止远程IP。
你不能称之为iptables守护进程,但它比denyhost更强大。