IPtables - Bloquear IPs definitivamente
Dica publicada em Linux / Segurança
IPtables - Bloquear IPs definitivamente
Galera,
Estava com um problema na empresa onde trabalho, o servidor está com o IPtables bloqueando tudo certinho, mas tinham alguns IPs que tentavam acessá-lo muitas vezes ao dia.
Isto gerava muitos Logs no SYSLOG, então eu queria bloquear esses IPs definitivamente, mas sem tirar a regra do IPtables.
Para que outro IP, ao tentar invadir o servidor e fosse registrado, então apliquei os métodos abaixo.
Obs.: Estes IPs bloqueados, foram os que tentaram acessar o Servidor através de portas não permitidas.
Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o 'sed' e 'awk', para resolver meu problema pelo menos por agora, fiz o seguinte:
1º método:
cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" > /tmp/ips
2º método:
Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei este Script do @Gabriel, que por sinal é muito útil.
Nele, fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o meu arquivo criado anteriormente: "/tmp/ips", e ele joga as informações no "/etc/hosts.deny".
Com isto, consegui bloquear os IPs que tentavam acessar minha rede através de portas bloqueadas.
Tem outra alternativa, que seria colocar este IPs em um arquivo, e fazer um 'for' no script do IPtables, depois o script leria este arquivo e o bloqueio seria através do IPtables, mas resolvi fazer assim mesmo. =]
Depois coloquei no crontab, para que ele fizesse isto automático pra mim.
É muito provável que tenham diversos programas que já façam isso, como o Fail2Ban, mas com este, tive algumas dificuldades em configurá-lo, então meti a mão na massa. =]
Caso alguém tenha alguma sugestão, estou no aguardo.
Estava com um problema na empresa onde trabalho, o servidor está com o IPtables bloqueando tudo certinho, mas tinham alguns IPs que tentavam acessá-lo muitas vezes ao dia.
Isto gerava muitos Logs no SYSLOG, então eu queria bloquear esses IPs definitivamente, mas sem tirar a regra do IPtables.
Para que outro IP, ao tentar invadir o servidor e fosse registrado, então apliquei os métodos abaixo.
Obs.: Estes IPs bloqueados, foram os que tentaram acessar o Servidor através de portas não permitidas.
Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o 'sed' e 'awk', para resolver meu problema pelo menos por agora, fiz o seguinte:
1º método:
cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" > /tmp/ips
- Com o 'cat': ele lista o que tem no SYSLOG.
- Com o 'grep': procura pelo Log do IPtables, cujo bloqueio foi feito na 'chain' INPUT.
- Com o 'awk': ele imprime a 12ª coluna ($12) somente se for diferente de 10.10 (minha rede interna).
- Com o 'sed': ele substitui todos os registros "SRC=" por "ALL: " e joga no arquivo "/tmp/ips".
2º método:
Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei este Script do @Gabriel, que por sinal é muito útil.
Nele, fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o meu arquivo criado anteriormente: "/tmp/ips", e ele joga as informações no "/etc/hosts.deny".
Com isto, consegui bloquear os IPs que tentavam acessar minha rede através de portas bloqueadas.
Tem outra alternativa, que seria colocar este IPs em um arquivo, e fazer um 'for' no script do IPtables, depois o script leria este arquivo e o bloqueio seria através do IPtables, mas resolvi fazer assim mesmo. =]
Depois coloquei no crontab, para que ele fizesse isto automático pra mim.
É muito provável que tenham diversos programas que já façam isso, como o Fail2Ban, mas com este, tive algumas dificuldades em configurá-lo, então meti a mão na massa. =]
Caso alguém tenha alguma sugestão, estou no aguardo.