Пресечение попыток взлома - не работает

[Ввысь]

Здравствуйте.
Подскажите, нашел вроде толковую вещь, не могу понять, почему не работает.
Как запускаю, так сразу все блокирует, пробовал изменять цифры, не работает. Ошибка где-то или просто не рабочие правила?
Что не так?
Спасибо.

(Нажмите, чтобы показать/скрыть)

Пресечение попыток взлома сервисов
iptables -A INPUT -p tcp --dport 22 -m recent --name ssh --update --seconds 3600 --hitcount 8 -j REJECT
iptables -A INPUT -p tcp --dport 22 -m recent --name ssh --set
iptables -A INPUT -p tcp --dport 22 -m recent --name ssh ! --rcheck --seconds 15 --hitcount 2 -j REJECT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Как это работает? Последнее правило: если ни одно из предшествующих правил не сработало, то принимать пакет. Второе правило безусловно создает или обновляет запись о последнем пакете. Третье правило отвергает пакеты, если за последние 15 секунд было менее 2-х попыток подключения. Первое правило отвергает, если за последние 3600 секунд было 8 или более пакетов.
Первая попытка подключения: пакет не соответствует правилу 1, второе правило добавляет его в таблицу последних попыток подключения. У второго правила нет цели, поэтому пакет идет дальше по цепочке. Третье правило проверяет, есть запись в таблице недавних подключений. Да, пакет занесен в таблицу предыдущим правилом, но всего один, а требуется 2. Правило не сработало бы, но установлено отрицание правила (!), значит правило срабатывает и первый пакет отвергается целью REJECT. Если вторая попытка соединения будет предпринята в течении 15 секунд после первой, то третье правило не сработает, и пакеты будут пропускаться 4-м правилом. При этом каждый такой пакет будет заноситься в таблицу недавних вторым правилом. При превышении лимита 8 подключений в час все пакеты будут блокироваться первым правилом, при этом каждый раз обновляя последнюю запись.
Т.е. первое соединение отвергается. Второе, если оно сделано не позднее чем 15 секунд после предыдущего - принимается. И так до 8 соединений, затем все блокируется. Т.е. если вас будут сканировать на предмет открытых портов для атаки, то порт окажется закрытым. Если вторая попытка просмотра портов с того же адреса позднее чем 15 секунд - то тоже все закрыто.

[alexxnight]

Конечно будет "банить" ВЕСЬ Ваш трафик.
Рассуждения верные для syn пакетов: "...Первая попытка подключения..."
Но у Вас в правилах это не отражено.

Что бы было понятно, создайте отдельную цепочку, например ssh_check
iptables -t filter -N ssh_check

Затем отправьте syn пакеты на порт 22 в эту цепочку
iptables -t filter -A INPUT -p tcp --dport 22 --syn -j ssh_check

А уже в этой цепочке реализуйте логику
iptables -t filter -A ssh_check -m recent --name ssh --update --seconds 3600 --hitcount 8 -j REJECT
iptables -t filter -A ssh_check -m recent --name ssh --set
iptables -t filter -A ssh_check -m recent --name ssh ! --rcheck --seconds 15 --hitcount 2 -j REJECT
iptables -t filter -A ssh_check -j ACCEPT

как-то так...

[Ввысь]

alexxnight, взлетело) спасибо.
=закрыл=