Heute hab ich bemerkt, dass wiedermal ein Bot an einem meiner Server klebt und beim Ftp Service standart Users durch probiert. Dies generiert, auch wenn nur eine sehr geringe Menge, unnötigen Traffic und unnötig endlose Logfiles … Obwohl ich fail2ban am laufen hab, was sehr zu empfehlen ist, hab ich Ihn dann doch noch manuell per iptables ausgesperrt.
Oft schon standart mässig installiert:
apt-get install iptables
Anzeigen von bestehenden Chains:
iptables -L
iptables -L CHAIN
Blockieren einer bestimmten source IP auf allen Ports:
iptables -A INPUT -s 11.22.33.88 -j DROP
Herausnehmen der blockierten IP aus Chain:
iptables -D INPUT -s 11.22.33.88 -j DROP
Anlegen einer eigenen Chain:
iptables -N CHAINNAME
Der Nachteil an diesen manuell gesetzen Einträgen ist, dass sie nach einem Neustart verloren gehen. Daher empfiehlt sich, für eine fixe Lösung die iptables Einträge zum Beispiel in der /etc/iptables.conf abzulegen.
echo "iptables -A INPUT -s 11.22.33.88 -j DROP" >> /etc/iptables.conf
Danach in der /etc/network/interfaces zum loopback Interface eine pre-up Zeile hinzufügen:
auto lo
iface lo inet loopback
pre-up /sbin/iptables-restore < /etc/iptables.conf
Diese Lösunge reicht für unseren gebrauch föllig aus, birgt aber trotzdem einige Nachteile. Zudem kann man die Rules nicht einfach aus/einschalten, dafür müsste man sich ein eigenes Init-Script schreiben oder ein bestehendes umschreiben, was mir aber für diese Situation zu aufwenidig wäre.
Wer ausführlich mehr über iptables wissen will Iptables Tutorial 1.2.2@frozentux.net