Heute hab ich bemerkt, dass wiedermal ein Bot an einem meiner Server klebt und beim Ftp Service standart Users durch probiert. Dies generiert, auch wenn nur eine sehr geringe Menge, unnötigen Traffic und unnötig endlose Logfiles … Obwohl ich fail2ban am laufen hab, was sehr zu empfehlen ist, hab ich Ihn dann doch noch manuell per iptables ausgesperrt.

Oft schon standart mässig installiert:
apt-get install iptables

Anzeigen von bestehenden Chains:
iptables -L
iptables -L CHAIN

Blockieren einer bestimmten source IP auf allen Ports:
iptables -A INPUT -s 11.22.33.88 -j DROP

Herausnehmen der blockierten IP aus Chain:
iptables -D INPUT -s 11.22.33.88 -j DROP

Anlegen einer eigenen Chain:
iptables -N CHAINNAME

Der Nachteil an diesen manuell gesetzen Einträgen ist, dass sie nach einem Neustart verloren gehen. Daher empfiehlt sich, für eine fixe Lösung die iptables Einträge zum Beispiel in der /etc/iptables.conf abzulegen.
echo "iptables -A INPUT -s 11.22.33.88 -j DROP" >> /etc/iptables.conf

Danach in der /etc/network/interfaces zum loopback Interface eine pre-up Zeile hinzufügen:

auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/iptables.conf

Diese Lösunge reicht für unseren gebrauch föllig aus, birgt aber trotzdem einige Nachteile. Zudem kann man die Rules nicht einfach aus/einschalten, dafür müsste man sich ein eigenes Init-Script schreiben oder ein bestehendes umschreiben, was mir aber für diese Situation zu aufwenidig wäre.

Wer ausführlich mehr über iptables wissen will Iptables Tutorial 1.2.2@frozentux.net