Узнать ИП и заблокировать

[Sirco]

Добрый день. Есть старый ПК который работает в качестве шлюза, там есть правило по переадресации
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.5

И какая то не хороший человек со своим ботом с не давних пор стал подбирать пароль (по несколько сотен попыток в день), хочу как то узнать с какого ИП адреса смотря по времени ломится этот чувак и заблокировать всё что идет с этого ИП.
в /var/log/ -  информации по подключению и переадресации нету.

Просьба сказать как можно узнать и заблокировать как можно детальнее так как в этом не шарю.
Заранее благодарю.

[AnrDaemon]

Можно, например, так:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/sbin/iptables-restore

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -o eth1 -j SNAT --to-source 213.134.200.30
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:NOWAY - [0:0]
:SMB_CHECK - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -i eth1 -j ULOG --ulog-prefix "OWN-INPUT "
-A INPUT -p tcp -m multiport --dports 135,137,138,139,445 -m conntrack --ctstate NEW -j SMB_CHECK
-A INPUT -p udp -m multiport --dports 135,137,138,139,445 -m conntrack --ctstate NEW -j SMB_CHECK
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.17.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT ! -i eth1 -j LOG --log-prefix "IPT-INPUT "
-A FORWARD -i eth1 -j ULOG --ulog-prefix "FORWARD-IN "
-A FORWARD -o eth1 -j ULOG --ulog-prefix "FORWARD-OUT "
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -i eth1 -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A FORWARD -s 192.168.0.0/16 -i eth1 -j NOWAY
-A FORWARD -d 192.168.0.0/16 -i eth1 -j NOWAY
-A FORWARD -s 192.168.17.0/24 ! -i eth1 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.17.0/24 ! -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD ! -i eth1 -j LOG --log-prefix "IPT-FORWARD "
-A OUTPUT -o eth1 -j ULOG --ulog-prefix "OWN-OUTPUT "
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SMB_CHECK -i mac0 ! -s 192.168.17.21 -j NOWAY
-A SMB_CHECK -i mac1 -j NOWAY
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --rcheck --seconds 90 --reap --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT


[Sirco]

Если я правильно понял тут предлагается просто разрешить пускать только с необходимых ИП адресов но это не подходит так как подключаюсь с динамических и может быть какой угодно, по этому я хочу узнать только адрес атакующего и именно его заблокировать.

Хотя мог и не правильно понять данный конфиг.

[AnrDaemon]

Неправильно поняли. Там нет ни одного фильтра по IP кроме xt_recent по 5 хитам в минуту.
Специально выложил полный дамп правил, чтобы можно было полностью понять работу.

[AlexDem]

У меня логи UFW показывают с какого IP были подключения к серверу заблокированы. А дальше sudo ufw deny from 192.168.1.5 to any

[jura12]

fail2ban поможет?

[AnrDaemon]

fail2ban поможет?

Как мёртвому припарка.

[dikiyZ]

 Если миллионам помогает, а одному - нет, то вывод очевиден...
у меня на сервере fail2ban прекрасно отшибает роботов с функцией перебора. В логах прекрасно отображаются целых три попытки неавторизованного  доступа, затем drop на неделю.
  Напрягать вместо этого процессор для обработки массы данных, как в примере выше - это оплачивать дополнительный налог на свою глупость в виде электроэнергии.

[AnrDaemon]

А fail2ban, конечно, бесплатен…
Вы издеваетесь?…

[dikiyZ]

 Гляньте на предлагаемые Вами монструозные инструкции. conntrack в данном случае использован для того, чтоб мониторить ВСЕ пакеты. Это занимает память, это нагружает процессор и снижает производительность всего сетевого устройства.
 А требуется отсечь неавторизованное обращения на пару определённых портов в случае неправильной регистрации. Разница между "контроль всех пакетов" и "отсечение в случае 6-ти (default settings) неуспешных попыток авторизоваться" по энергозатратам - огромна. Да и бездарно так делать. Так что положите эти свои настройки там, где позаимствовали.
 И почему REJECT, а не drop? Роботы нынче умные, если ответ после REJECT пришёл, то это подтверждение им, что они- на правильном пути. И снова лишняя работа для процессора и сети. Зачем?

[AnrDaemon]

dikiyZ, вы правила вообще прочитали? А поняли?…