阻止机器人攻击 ufw fail2ban

阻止机器人攻击 ufw fail2ban

我做了一些愚蠢的事情,或者遗漏了一些东西。有人能发现吗?

我有一台 tplink archer C7,设置为从外部端口转发到内部服务器上的 ssh 端口 22。但我仍然在 auth.log 中看到 sshd 端口(除 22 端口外)的外部源活动。这让我很困惑,但也许 tplink 不是有选择地进行端口转发。

因此我添加了 ufw 并拒绝所有访问,然后添加

Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp

ufw 正在运行,并正确阻止和记录一些内部流量 - 但日志中没有任何内容阻止来自外部的流量。我仍然在 auth.log 中看到据称针对其他端口的活动。

所以我在 hosts.deny 中阻止了所有 ssh(在这里您还可以看到来自 fail2ban 的条目)

sshd: ALL

sshd: 1.234.5.238
sshd: 101.255.158.25
sshd: 103.138.10.78
sshd: 103.147.119.16
sshd: 103.4.119.20
sshd: 104.236.230.184
sshd: 109.132.238.5
sshd: 111.118.140.250
sshd: 111.68.125.106
...

并使用 ipfilter 脚本在 hosts.allow 中进行地理封锁

sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a

在 auth.log 中我可以看到主机被 ipfilter 拒绝

Dec 20 14:00:11 BobsJob root: DENY sshd connection from 114.44.149.56 (TW)
Dec 20 14:00:11 BobsJob sshd[16088]: Invalid user emmmetje from 114.44.149.56 port 34820
Dec 20 14:00:12 BobsJob sshd[16088]: Received disconnect from 114.44.149.56 port 34820:11: Bye Bye [preauth]
Dec 20 14:00:12 BobsJob sshd[16088]: Disconnected from invalid user emmmetje 114.44.149.56 port 34820 [preauth]

但是为什么我在 auth.log 中看到有关端口 34820 的任何日志活动?为什么 sshd 会拒绝无效用户的访问?它应该被我的路由器阻止。如果失败,它应该被 ufw 阻止。它最终被 hosts.allow 中的 ipfilter 脚本拒绝,但它甚至不应该走那么远。

是不是因为 auth.log 中记录的端口不是真实的,即它们位于我打开的一个外部端口上,而该端口在内部映射到 22?但为什么日志会报告不同的端口号?

我在这里遗漏了什么?

答案1

一个唯一的TCP会话可以用四个参数来描述,源IP,目标IP源端口和目标端口。

在你的情况下,目标 IP 是你的本地 IP,目标端口是 22。日志中显示的参数是源 IP 和源端口。意味着“某人”试图从源 IP 和源端口访问你的 ssh114.44.149.56服务器34820

相关内容