IPtables - Bloquear IPs definitivamente

Publicado por madson em 07/02/2012

[ Hits: 6.439 ]

 


IPtables - Bloquear IPs definitivamente



Galera,

Estava com um problema na empresa onde trabalho, o servidor está com o IPtables bloqueando tudo certinho, mas tinham alguns IPs que tentavam acessá-lo muitas vezes ao dia.

Isto gerava muitos Logs no SYSLOG, então eu queria bloquear esses IPs definitivamente, mas sem tirar a regra do IPtables.

Para que outro IP, ao tentar invadir o servidor e fosse registrado, então apliquei os métodos abaixo.

Obs.: Estes IPs bloqueados, foram os que tentaram acessar o Servidor através de portas não permitidas.

Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o 'sed' e 'awk', para resolver meu problema pelo menos por agora, fiz o seguinte:

1º método:

cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" > /tmp/ips
  • Com o 'cat': ele lista o que tem no SYSLOG.
  • Com o 'grep': procura pelo Log do IPtables, cujo bloqueio foi feito na 'chain' INPUT.
  • Com o 'awk': ele imprime a 12ª coluna ($12) somente se for diferente de 10.10 (minha rede interna).
  • Com o 'sed': ele substitui todos os registros "SRC=" por "ALL: " e joga no arquivo "/tmp/ips".

2º método:

Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei este Script do @Gabriel, que por sinal é muito útil.

Nele, fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o meu arquivo criado anteriormente: "/tmp/ips", e ele joga as informações no "/etc/hosts.deny".

Com isto, consegui bloquear os IPs que tentavam acessar minha rede através de portas bloqueadas.

Tem outra alternativa, que seria colocar este IPs em um arquivo, e fazer um 'for' no script do IPtables, depois o script leria este arquivo e o bloqueio seria através do IPtables, mas resolvi fazer assim mesmo. =]

Depois coloquei no crontab, para que ele fizesse isto automático pra mim.

É muito provável que tenham diversos programas que já façam isso, como o Fail2Ban, mas com este, tive algumas dificuldades em configurá-lo, então meti a mão na massa. =]

Caso alguém tenha alguma sugestão, estou no aguardo.

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Filtrando porcarias com Squid IV

Confira o Cuckoo Sandbox. Analisador de malware!

F1 = Fórmula 1? NÃO! Mais uma vulnerabilidade do IE

Sobre o KVB

Identificando processos autênticos

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts