IPtables - Bloquear IPs definitivamente

Publicado por madson em 07/02/2012

[ Hits: 5.517 ]

 


IPtables - Bloquear IPs definitivamente



Galera,

Estava com um problema na empresa onde trabalho, o servidor está com o IPtables bloqueando tudo certinho, mas tinham alguns IPs que tentavam acessá-lo muitas vezes ao dia.

Isto gerava muitos Logs no SYSLOG, então eu queria bloquear esses IPs definitivamente, mas sem tirar a regra do IPtables.

Para que outro IP, ao tentar invadir o servidor e fosse registrado, então apliquei os métodos abaixo.

Obs.: Estes IPs bloqueados, foram os que tentaram acessar o Servidor através de portas não permitidas.

Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o 'sed' e 'awk', para resolver meu problema pelo menos por agora, fiz o seguinte:

1º método:

cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" > /tmp/ips
  • Com o 'cat': ele lista o que tem no SYSLOG.
  • Com o 'grep': procura pelo Log do IPtables, cujo bloqueio foi feito na 'chain' INPUT.
  • Com o 'awk': ele imprime a 12ª coluna ($12) somente se for diferente de 10.10 (minha rede interna).
  • Com o 'sed': ele substitui todos os registros "SRC=" por "ALL: " e joga no arquivo "/tmp/ips".

2º método:

Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei este Script do @Gabriel, que por sinal é muito útil.

Nele, fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o meu arquivo criado anteriormente: "/tmp/ips", e ele joga as informações no "/etc/hosts.deny".

Com isto, consegui bloquear os IPs que tentavam acessar minha rede através de portas bloqueadas.

Tem outra alternativa, que seria colocar este IPs em um arquivo, e fazer um 'for' no script do IPtables, depois o script leria este arquivo e o bloqueio seria através do IPtables, mas resolvi fazer assim mesmo. =]

Depois coloquei no crontab, para que ele fizesse isto automático pra mim.

É muito provável que tenham diversos programas que já façam isso, como o Fail2Ban, mas com este, tive algumas dificuldades em configurá-lo, então meti a mão na massa. =]

Caso alguém tenha alguma sugestão, estou no aguardo.

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Iptables - Especificando máscara de rede nas regras

Bloqueie o acesso à sua máquina

Slackfire - Iniciantes em iptables (Slackware)

Bloqueando usuários com ARP

Utilizando o nmap para descobrir versão dos serviços

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts