Пакеты отбрасывания на IP, если больше, чем порог хитов из IP достигнут

Question 1

Теперь я хочу заблокировать IP (или пакетное определение источника отбрасывания от IP), если IP совершает нападки, мой хост к говорят что 5 запросов в минуту. Как сделать так? Можно ли указать на меня на какой инструмент или команда для чтения о в отношении установленной проблемы?

После поиска я столкнулся с iptables с предельным модулем-m. Но это не рассматривает IP-адреса. При значении, если я установил предел к 5 на порте 22 для 5 хитов в 60 секунд, это предотвратит соединения, если 5 хитов поразят сервер независимо исходный IP (ли это единственный IP или 5 различных машин). Я также столкнулся с tc для формирования транспортной пропускной способности, но я не был уверен, является ли это инструмент, я должен смотреть на.

Выручите меня путем регистрации ссылок наряду с решением. Я всегда люблю читать больше.

Заранее спасибо.

ОБНОВЛЕНИЕ: Я не могу использовать fail2ban здесь, поскольку fail2ban требует существования даты и времени в некотором известном формате в журналах. Дело обстоит не так для журналов freeswitch.

Question 2

Хорошо, я смог найти ответ на свой вопрос, и я совместно использую это здесь, чтобы другие извлекли выгоду из (даже при том, что количество представлений не говорит так :)).

Мое решение использует iptables и fail2ban для решения рассматриваемой проблемы.

Будят Ваш брандмауэр и выполнение. Не забывайте открывать порты, требуемые freeswitch проводить успешные операции VoIP:
```
firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
```

один только Этот шаг фильтрует много нападений, как большинство из них по udp на tcp-ожидаемых портах.

Просят, чтобы iptables сохранил связанную с соединениями TCP информацию при соединении с портами сигнализации:

iptables -I INPUT 5 -i eth0 -p tcp -m multiport --dports 5080,5081,5060,5061,7443,5066,8080:8082 -m recent --set --name FREESWITCH_BADGUY -j ACCEP
iptables -I INPUT 5 -i eth0 -p tcp -m recent --update --hitcount 1 --seconds 120 --name FREESWITCH_BADGUY -j LOG --log-prefix "FREESWITCH BAD: " --log-level info

Примечание индекс/порядок 5 во ВХОДНОЙ цепочке. Я использовал 5, потому что это было незадолго до правил принять соединения на перечисленных портах (от команд в первом шаге). Так, необходимо поместить их где угодно перед правилами от первого шага, но после правил fail2ban ssh.

Создают новый фильтр fail2ban в /etc/fail2ban/filter.d/freeswitch-customized.conf:
```
[Definition]

failregex = FREESWITCH BAD.*SRC=<HOST>

ignoreregex =
```
Добавляют следующее к /etc/fail2ban/jail.local: (Измените logpath на системный файл журнала. Мой был /var/log/messages. Но это может быть в Вашем случае, например, /var/log/syslog).
```
[freeswitch-customized]

enabled = true
port = 5060,5061,5080,5081,7443,5066
logpath = /var/log/messages
filter = freeswitch-customzied
```
Перезапуск fail2ban:
```
systemctl restart fail2ban
```

Это работало на меня.

joker · Accepted Answer · 3 November 2019 в 10:55