Galera,

Estava com um problema na empresa onde trabalho, o servidor está com o IPtables bloqueando tudo certinho, mas tinham alguns IPs que tentavam acessá-lo muitas vezes ao dia.

Isto gerava muitos Logs no SYSLOG, então eu queria bloquear esses IPs definitivamente, mas sem tirar a regra do IPtables.

Para que outro IP, ao tentar invadir o servidor e fosse registrado, então apliquei os métodos abaixo.

Obs.: Estes IPs bloqueados, foram os que tentaram acessar o Servidor através de portas não permitidas.

Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o 'sed' e 'awk', para resolver meu problema pelo menos por agora, fiz o seguinte:

1º método:

$ cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" > /tmp/ips

• Com o 'cat': ele lista o que tem no SYSLOG.
• Com o 'grep': procura pelo Log do IPtables, cujo bloqueio foi feito na 'chain' INPUT.
• Com o 'awk': ele imprime a 12ª coluna ($12) somente se for diferente de 10.10 (minha rede interna).
• Com o 'sed': ele substitui todos os registros "SRC=" por "ALL: " e joga no arquivo "/tmp/ips".

2º método:

Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei este Script do @Gabriel, que por sinal é muito útil.

Nele, fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o meu arquivo criado anteriormente: "/tmp/ips", e ele joga as informações no "/etc/hosts.deny".

Com isto, consegui bloquear os IPs que tentavam acessar minha rede através de portas bloqueadas.

Tem outra alternativa, que seria colocar este IPs em um arquivo, e fazer um 'for' no script do IPtables, depois o script leria este arquivo e o bloqueio seria através do IPtables, mas resolvi fazer assim mesmo. =]

Depois coloquei no crontab, para que ele fizesse isto automático pra mim.

É muito provável que tenham diversos programas que já façam isso, como o Fail2Ban, mas com este, tive algumas dificuldades em configurá-lo, então meti a mão na massa. =]

Caso alguém tenha alguma sugestão, estou no aguardo.