Iptables + ipset

[saifuddin]

Доброго времени суток!
Подскажите, как можно добавить IP в бан лист?

Установлен denyhosts все ip стучащие на ssh банит и записывает в файл /etc/hosts.denny

так же стоит ipset
у него я создал blacklist
ipset -N blacklist iphash
пробовал вручную добавить файлы, вроде получилось и все работает.
добавил правило в IPTABLES, которое проверяет, если IP из банлиста, то дропает его.

Вопрос.

Как в IPTABLES сделать. так, что если, кто-то стучит на определенный порт, скажем 1120, сразу его IP добавлять в бан лист IPSET?
-m set --add-set вроде это нужно юзать, но, что-то не пойму, как ее прикрутить, ведь мне IP не известен, а тут нужно известный IP добавлять.... Подскажите, что делать!?

[Karl500]

Вы хотите "вручную" сделать то, что делает fail2ban?

А, т.е. жестче, чем fail2ban.... А можно поинтересоваться, зачем?

[AnrDaemon]

Зачем вы коллекционируете адреса, которые, вероятно, никогда вам не пригодятся?
Поставьте allow только нужных и перестаньте грузить процессор хернёй.

P.S.
xt_recent, но повторяю - вы делаете дурную работу.

[saifuddin]

У меня так и работает, есть список доверенных адресов.
Если стучатся не из списка, то DROP.
Так пойдет?
Пользователь решил продолжить мысль 11 Марта 2016, 23:15:14:По, поводу fail2ban, как его настроить на порт mysql? Чтобы он банил, всех кто стучится на порт, если только это не whitelist IP адрессов?

[Karl500]

fail2ban'у пофиг - он парсит логи. Если в логах есть событие, которое можно "вычленить" и по этой записи в логе определить IP-адрес - то это как раз для него.

[AnrDaemon]

По, поводу fail2ban, как его настроить на порт mysql?

А зачем у вас MySQL в мир смотрит? O.o

[saifuddin]

да, смотрит, только по IP дропает IPTABLES, всех кто не из whitelist, SSL сертификат + юзер стоит только по определенному IP для авторизации к БД
Пользователь решил продолжить мысль [time]12 Март 2016, 00:32:46[/time]:Galera Cluster не пригодна для SSH тунеля к примеру. Если вы сейчас за это начнете говорить.
Пользователь решил продолжить мысль 11 Марта 2016, 23:41:52:Я не пойму, а как тогда все те статьи от DDOSS атак, где используется то nginx, то ipset в связке с чем либо. Если разом начну засорять канал, как тут быть?

[AnrDaemon]

Никак. Все статьи направлены на снижение нагрузки на приложение, а не на канал.

да, смотрит, только по IP дропает IPTABLES, всех кто не из whitelist, SSL сертификат + юзер стоит только по определенному IP для авторизации к БД

VPN отменили?…

[saifuddin]

VPN отличная идея, вот только бюджет не велик, а там слабое звено сервер, через который нужно будет все транслировать, по той или иной причине, если он ломается, накрывается вся реплика, можно его дублировать. Но, как говорил ранее, сейчас бюджет не позволяет.

[AnrDaemon]

Что куда транслировать?… О чём вообще речь?…

[saifuddin]

В любом VPN есть один сервер и как минимум два клиента, которые общаются друг с другом через сервер. Все пакеты проходят через этот сервер. Если он вылетает, связь нарушается. Или вы знаете VPN у которого можно реализовать одноранговую связь? Если, так, то дайте мне знать, я все перерыл, но такой VPN найти не смог.

[AnrDaemon]

Чо?… У вас уже есть сервер, через который проходят пакеты. Если он вылетит, то не всё ли равно, почему?… (И, да, сервер одновременно и клиентом является, сюрприииз!!! Такая себе одноранговая связь.)

P.S.
Что-то у меня вот уже 9 часов VPN никуда не вылетает. К дождю видать?…

[saifuddin]

Не, обязательно должен вылететь сервер VPN, достаточно накрыться самому серваку. DDos атака, питание выключили, fatal error в системе, вирус проник, да куча вариантов.

[AnrDaemon]

Именно. Какая разница, вылетит он при использовании VPN или без?…

[saifuddin]

Вот любит тут народ, уходить от ответа. Спросишь, как проехать до города, а тебе расскажут, как жилось людям на диком западе без всяких iphone.

Вопрос не про VPN был в конце концов. А, про IPSET и IPTABLES.