Skrypty te napisałem do blokowania na firewallu wszystkich numerów ip które zostały zarejestrowane w logach z jakichś tam powodów (zależnie od konfiguracji). Osobiście stosuję go do blokowania wszystkich numerów ip, które próbowały włamywać się na pewne porty w moim systemie (np. Samba, SSH, Wirusy: CodeRedWorm i Nimda, ICMP Flood). Blokada jest zdejmowana automatycznie po pewnym okresie czasu.
Pobierz baner.tar.gz (1.5KB)
Aby zainstalować skrypt należy:
# log path IPpos susp. string name times # /var/log/httpd/access_log 1 default.ida? CodeRedWorm 1 /var/log/httpd/access_log 1 scripts/root.exe Nimda 1 /var/log/samba/log.smb 4 Denied Samba 1 /var/log/messages 12 222.197.124.128:515 port:printer 1 /var/log/messages 12 222.197.124.128:137 port:samba 1 /var/log/messages 12 222.197.124.128:111 port:sunrpc 1 /var/log/messages 12 222.197.124.128:22 port:ssh 1 /var/log/messages 12 222.197.124.128:0 ICMP 30gdzie:
internet_iface="ppp0"i wpisać w niej nazwę interfejsu, który będzie blokowany. Należy zadbać o odpowiednie regułki w skrypcie ipchains aby komenda
ipchains -L ppp0-in
działała (czyli zdefiniować ppp0-in. Najprościej wykorzystać do tego mój skrypt z regułkami ipchains na stronie Maskarada.
mkdeny 174.29.1.2
rmdeny 174.29.1.2
#!/bin/sh internet_iface="ppp0" deny=`cat /etc/deny.txt` ipchains -N ${internet_iface}-in ipchains -A input -i ${internet_iface} -j ${internet_iface}-in # zabraniamy dostepu osobom z listy /etc/deny.txt for s in $deny do ipchains -A ${internet_iface}-in -s $s -j DENY done
Powrót | Linux |