几天来,有人一直在对我的服务器进行暴力攻击,每次都是通过不同的外部 IP 地址(到目前为止有数百个),但总是通过相同的我认为的本地 IP 地址:192.168.2.33
问题是,有没有办法创建一个 iptable 规则来阻止该特定内部 IP 地址,而不管其使用的外部 IP 地址是什么?我曾尝试在 CSF 中直接阻止该 IP,但无济于事。
2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
2014-08-07 15:52:17 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
答案1
我刚遇到过同样的问题。Iptables 是个好主意,但您也可以使用 hosts.[allow|deny],我发现这更容易一些。
例子
特别严格的示例--白名单仅有的。首先否认一切:
# cat /etc/hosts.deny
ALL: ALL
允许规则:
# cat /etc/hosts.allow
sshd: 192.168.0.100
另外,这是一篇好文章:
http://www.debian-administration.org/article/87/Keeping_SSH_access_secure