iptables -t filter -A INPUT

[remonik]

victor00000, вообще-то remonik спросил не как удалить правило, а ЧЕМ его заменить.

дык в подписи написанно что victor00000 глухой

[alexxnight]

Отлично коллега а теперь скажите пожалуйста что поставить замест ACCEPT?

-recent не требует параметра -jamp
Можно не ставить ничего. В этом случае просто создастся новая запись в таблице HTTPS. Если запись уже существовала, то обновится время.

Вечером я Вам еще один вариант рабочий напишу. Сейчас, времени очень мало

[AnrDaemon]

Отлично коллега а теперь скажите пожалуйста что поставить замест ACCEPT?

А что у меня стоит? Вот это же самое поставить.

[terrible_user]

у ха ха бесплатный цирк
хоть 100 готовых вариантов все без толку

Отлично коллега а теперь скажите пожалуйста что поставить замест ACCEPT?

ничего, в твоем творении поменяй их просто местами
сначала ДРОП потом АЦЦЕПТ - это главная фишка

Код: [Выделить]

iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 5 --name HTTPS -j DROP
iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT
+ разрешить установленные соединения (если кончено уже не установлены, ведь шифруемся полный iptables-save не кому не покажем) 

[remonik]

у ха ха бесплатный цирк
хоть 100 готовых вариантов все без толку

Отлично коллега а теперь скажите пожалуйста что поставить замест ACCEPT?

ничего, в твоем творении поменяй их просто местами
сначала ДРОП потом АЦЦЕПТ - это главная фишка

Код: [Выделить]

iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 5 --name HTTPS -j DROP
iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT
+ разрешить установленные соединения (если кончено уже не установлены, ведь шифруемся полный iptables-save не кому не покажем) 

зачем показывать полный иптаблес? правила всёровно поставил в начало скрипта и они не катят как говарится люди открывают соедение по 20 раз к ряду

[AnrDaemon]

Правила неправильно написаны потому что.
А полные - потому что каждое зависит от предыдущих.

[remonik]

Правила неправильно написаны потому что.

весомый ответ содержательный но могу лишь сказать что действительно дерективы recent и иже с ними довольно сложны в понимании не первый форум не может мне помочь

[AnrDaemon]

Может, вы нехотите вопрос нормально задать?
Впрочем, ответ вам уже дали.
Опция --jump совершенно необязательна. А в данном случае вредна.
Пользователь решил продолжить мысль 01 Июля 2011, 15:17:33:

у ха ха бесплатный цирк
хоть 100 готовых вариантов все без толку

Отлично коллега а теперь скажите пожалуйста что поставить замест ACCEPT?

ничего, в твоем творении поменяй их просто местами
сначала ДРОП потом АЦЦЕПТ - это главная фишка

--recent работать не будет. Бан будет вечный.

[remonik]

какой вапрос? уважаемый это начинает уже просто раздражать
задачу я изложил свои действия привел сказали не правильно хорошо скажите как правильно?
(на всякий случай излагаю ещё раз защита от подбора пароля по 443 порту https чел попадает на окошко для логина и пароля три раза попытался законектитя норм на чётвёртый уй обрыв и бан)
вот и всё
за внимание и понимание

[AnrDaemon]

Я тебе привёл рабочий вариант.
В чем проблема переписать его без ошибок и просто попробовать?

[alexxnight]

"Беседа, беседа..." (с) 

А если по делу, Вам, уважаемый ТС, действительно привели несколько вариантов.
Предложу Вам свой.

# Создание цепочек для брутфорса
iptables -N bruteforce
iptables -N bruteforce_remove
#

.....

# "Стандартное" начало для цепочки INPUT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#
.......

# Пример использования защиты брутфорса
iptables -A INPUT -p tcp -dport 443 -j bruteforce # Если там проверку пользователь не пройдет, то этого злыдня там заблокируют
iptables -A INPUT -p tcp -dport 443 -j ACCEPT
#

# bruteforce
iptables -A bruteforce -j bruteforce_remove # цепочка проверки периода блокировки заблокированных ip
iptables -A bruteforce -m conntrack --ctstate NEW -m recent --name bruteforce --rsource --update --seconds 600 --hitcount 20 -j DROP
iptables -A bruteforce -m conntrack --ctstate NEW -m recent --name bruteforce --rsource --update --seconds 5   --hitcount 5  -j DROP
iptables -A bruteforce -m recent --name bruteforce --rsource --set
#
# bruteforce_remove    если злыдень в течении 12 часов не стучался, то разрешаем ему снова попытки соединения
iptables -A bruteforce_remove -m recent --name bruteforce --rsource --rcheck --seconds 43200 -j RETURN
iptables -A bruteforce_remove -m recent --name bruteforce --rsource --remove
#


В общем, если есть вопросы, пишите...

[remonik]

Я тебе привёл рабочий вариант.
В чем проблема переписать его без ошибок и просто попробовать?

спасибо канечно, блин но я же сказал что не работает
Пользователь решил продолжить мысль 02 Июля 2011, 10:16:50:

"Беседа, беседа..." (с) 

А если по делу, Вам, уважаемый ТС, действительно привели несколько вариантов.
Предложу Вам свой.

# Создание цепочек для брутфорса
iptables -N bruteforce
iptables -N bruteforce_remove
#

.....

# "Стандартное" начало для цепочки INPUT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#
.......

# Пример использования защиты брутфорса
iptables -A INPUT -p tcp -dport 443 -j bruteforce # Если там проверку пользователь не пройдет, то этого злыдня там заблокируют
iptables -A INPUT -p tcp -dport 443 -j ACCEPT
#

# bruteforce
iptables -A bruteforce -j bruteforce_remove # цепочка проверки периода блокировки заблокированных ip
iptables -A bruteforce -m conntrack --ctstate NEW -m recent --name bruteforce --rsource --update --seconds 600 --hitcount 20 -j DROP
iptables -A bruteforce -m conntrack --ctstate NEW -m recent --name bruteforce --rsource --update --seconds 5   --hitcount 5  -j DROP
iptables -A bruteforce -m recent --name bruteforce --rsource --set
#
# bruteforce_remove    если злыдень в течении 12 часов не стучался, то разрешаем ему снова попытки соединения
iptables -A bruteforce_remove -m recent --name bruteforce --rsource --rcheck --seconds 43200 -j RETURN
iptables -A bruteforce_remove -m recent --name bruteforce --rsource --remove
#


В общем, если есть вопросы, пишите...

вапрос один, друг мой ты сам то это проверял? работает?
Пользователь решил продолжить мысль 02 Июля 2011, 12:04:05:веть в отличие от веба допустим все вышеперечисленные правила будут легитимны и приемлемы для ссш потому как там соеденение открывается только после ввода пароля  пока авторизация не прошла идёт только запрос на соеденение(гениально сделанно если чё) в апаче, каманче и прочих веб-серверах и веб-мордах соеденение же считается открытым на порт когда загружается страница с просьбой ввести логин и пароль. И поэтому пытаться лочить соедение по примеру того же ssh просто глупо будет либо тупо убиваться соеденение в самом начале и не будет грузится страница с авторизацией либо соедение будет открыватся и висеть без проблем. Из сего нужно написать правило которое просто будет дропать соеденение на порт (80,443) по времени то есть не успел авторизоватся допустим за 20 секунд будешь дропать тя на 5 минут скажем второй раз не успел то 15 третий раз не успел 25 четвёртый на сутки. По моему это логично

[bubuntu-ru]

-s 192.168.2.204/32,192.168.2.203/32 -d 192.168.2.201/32 -i eth1 -p tcp --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT, жестко правда :]

[remonik]

-s 192.168.2.204/32,192.168.2.203/32 -d 192.168.2.201/32 -i eth1 -p tcp --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT, жестко правда :]

как я понимаю что не более одного соеденения за одну минуту? потом бан

[bubuntu-ru]

Почему бан, ограничение так сказать.