Die unter Block outdated clients vorgestellte Lösung funktioniert zumindest mit syslog-ng 3.4.2 nicht, da syslog-ng “lseek()” verwendet, um das Ende von z.B. /proc/net/xt_recent/irgendwas zu erreichen, während die destination program lediglich ein externes Programm startet. Mit file als destination sieht das im Log dann so aus: Aug 29 00:00:44 mx03.schaal-24.de syslog-ng[20351]: […]
Martin Kos hat mich darauf hingewiesen, dass mein Blocklisten von blocklist.de in iptables einbinden nicht funktioniert, wenn DNAT verwendet wird, weil die INPUT-Regeln nicht bzw. zu spät greifen. Es dürfte besser sein, die Pakete nicht erst in INPUT, sondern schon im PREROUTING und zwar in der MANGLE TABLE zu droppen. […]
UPDATE: http://blog.schaal-24.de/?p=2683 Ich verwende unter anderem einige Blocklisten von blocklist.de, um potentielle Angriffe zu minimieren. Da die einzelnen Listen pro Zeile eine IP enthalten, lassen Sie sich problemlos über xt_recent einbinden. Ich verwende ein einfaches Bash-Script, um einmal am Tag über cron meine Firewall mit den Listen abzugleichen. Einige Parameter […]
Der Beitrag von Robert Schetterer (Botnet-Angriffe mit rsyslog und iptables recent module abwehren) zum sofortigen Eintrag von durch Postscreen abgelehnten IP-Adressen mittels rsyslog hat mich dazu animiert, hier meine Lösung für syslog-ng vorzustellen. Ich setze dabei aber nicht auf eine Pipe, sondern trage über syslog-ng die entsprechende IP direkt in […]
Hier nun die Ergänzung zu fail2ban mit xt_recent. Durch fail2ban (ob nun über xt_recent oder kompletten Eintrag in die Firewall) werden IP immer nur geblockt, bis der Server neu gestartet wird. Daher trage ich die Bans nicht nur in die Firewall, sondern auch in eine mysql-Datenbank ein. Grundsätzliches Ich habe […]
Ich betreibe einen Mirror für clamav. Einige clients laden aber jedesmal die main.cvd anstatt der diffs. Daraus folgt ein täglicher Traffic von bist zu 150 MB pro Tag und client. Also habe ich mich auf die Sucher nach einer Lösung gemacht, um den monatlichen Traffic von ~2TB ein wenig zu […]
Um den Traffic von einem Port umzuleiten, kann man entweder iptables und PREROUTING verwenden oder – wenn es nur tcp sein muss – auch rinted. Rinetd hat den Vorteil, dass sich das ganze wesentlich einfacher einrichten lässt. Die entsprechenden Werte werden lediglich in /etc/rinetd.conf eingetragen. Um z.B. http und https […]