Падение пакетов на IP-адрес, если достигнуто более пороговое значение хитов из ip
Теперь я хочу заблокировать ip (или отбросить пакеты из ip), если ip ударит мой хост за 5 запросов за минуту. Как это сделать? Можете ли вы указать мне, какой инструмент или команда читать в отношении указанной проблемы?
После поиска я наткнулся на iptables с модулем -m -m. Но это не учитывает IP-адрес. Значение, если я устанавливаю предел 5 на порт 22 для 5 ударов за 60 секунд, это предотвратит соединения, если 5 ударов попадут на сервер, независимо от исходного ip (будь то один ip или 5 разных машин). Я также столкнулся с tc, чтобы сформировать пропускную способность трафика, но я не был уверен, что это инструмент, на который я должен смотреть.
Пожалуйста, помогите мне, разместив ссылки вместе с вашим решением.
Спасибо заранее.
UPDATE: я не могу использовать fail2ban здесь, поскольку fail2ban требует наличия даты и времени в каком-то известном формате в журналах , Это не относится к журналам freeswitch.
3 ответа
Хорошо, я смог найти ответ на свой вопрос, и я поделился этим здесь, чтобы другие могли воспользоваться (хотя количество просмотров не говорит так :)).
В моем решении используются iptables и fail2ban для решения этой проблемы.
Обновите свой брандмауэр. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
Этот шаг только отфильтровывает множество атак, поскольку большинство из них находятся поверх udp на портах, ожидающих tcp.
Обновите свой брандмауэр. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
Обратите внимание на индекс / порядок 5 в цепочке INPUT. Я использовал 5, потому что это было как раз перед тем, чтобы правила принимали соединения на перечисленных портах (из команд на первом шаге). Итак, вы должны поместить их где-нибудь перед правилами с первого шага, но после правил fail2ban ssh.
Получить брандмауэр и запустить его. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:
[Definition]
failregex = FREESWITCH BAD.*SRC=<HOST>
ignoreregex =
[freeswitch-customized]
enabled = true
port = 5060,5061,5080,5081,7443,5066
logpath = /var/log/messages
filter = freeswitch-customzied
systemctl restart fail2ban
Создайте новый фильтр fail2ban в /etc/fail2ban/filter.d/freeswitch-customized.conf:
Хорошо, я смог найти ответ на свой вопрос, и я поделился этим здесь, чтобы другие могли воспользоваться (хотя количество просмотров не говорит так :)).
В моем решении используются iptables и fail2ban для решения этой проблемы.
Обновите свой брандмауэр. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
Этот шаг только отфильтровывает множество атак, поскольку большинство из них находятся поверх udp на портах, ожидающих tcp.
Обновите свой брандмауэр. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
Обратите внимание на индекс / порядок 5 в цепочке INPUT. Я использовал 5, потому что это было как раз перед тем, чтобы правила принимали соединения на перечисленных портах (из команд на первом шаге). Итак, вы должны поместить их где-нибудь перед правилами с первого шага, но после правил fail2ban ssh.
Получить брандмауэр и запустить его. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:
[Definition]
failregex = FREESWITCH BAD.*SRC=<HOST>
ignoreregex =
Добавьте в /etc/fail2ban/jail.local следующее: (Измените путь журнала к файлу системного журнала. Моя была /var/log/messages. это может быть в вашем случае, например, /var/log/syslog). [freeswitch-customized]
enabled = true
port = 5060,5061,5080,5081,7443,5066
logpath = /var/log/messages
filter = freeswitch-customzied
Перезапуск fail2ban: systemctl restart fail2ban
Создайте новый фильтр fail2ban в /etc/fail2ban/filter.d/freeswitch-customized.conf:
Хорошо, я смог найти ответ на свой вопрос, и я поделился этим здесь, чтобы другие могли воспользоваться (хотя количество просмотров не говорит так :)).
В моем решении используются iptables и fail2ban для решения этой проблемы.
Обновите свой брандмауэр. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
Этот шаг только отфильтровывает множество атак, поскольку большинство из них находятся поверх udp на портах, ожидающих tcp.
Обновите свой брандмауэр. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:firewall-cmd --add-port=5080-5081/tcp --add-port=5060-5061/tcp --add-port=5066/tcp --add-port=8080-8082/tcp --add-port=7443/tcp --add-port=16384-32768/udp
Обратите внимание на индекс / порядок 5 в цепочке INPUT. Я использовал 5, потому что это было как раз перед тем, чтобы правила принимали соединения на перечисленных портах (из команд на первом шаге). Итак, вы должны поместить их где-нибудь перед правилами с первого шага, но после правил fail2ban ssh.
Получить брандмауэр и запустить его. Не забудьте открыть порты, требуемые freeswitch, для выполнения успешных операций VoIP:
[Definition]
failregex = FREESWITCH BAD.*SRC=<HOST>
ignoreregex =
Добавьте в /etc/fail2ban/jail.local следующее: (Измените путь журнала к файлу системного журнала. Моя была /var/log/messages. это может быть в вашем случае, например, /var/log/syslog). [freeswitch-customized]
enabled = true
port = 5060,5061,5080,5081,7443,5066
logpath = /var/log/messages
filter = freeswitch-customzied
Перезапуск fail2ban: systemctl restart fail2ban
Создайте новый фильтр fail2ban в /etc/fail2ban/filter.d/freeswitch-customized.conf: