SSHでIPをブロックする方法

Question 1

からhttp://www.linuxquestions.org/questions/linux-newbie-8/how-to-configure-ssh-to-allow-or-deny-specify-host-ip-address-610246/

sshd: 116.31.116.20に追加/etc/hosts.deny

Answer

からhttp://www.linuxquestions.org/questions/linux-newbie-8/how-to-configure-ssh-to-allow-or-deny-specify-host-ip-address-610246/

sshd: 116.31.116.20に追加/etc/hosts.deny

Question 2

使用することもできますiptables

ブロックしたいIPアドレスを記述したファイルを作成します。blocked.ips.txt

次に、次の内容を含むスクリプトを作成して実行します。

blocked=$(egrep -v -E "^#|^$" ./blocked.ips.txt)
for ip in $blocked
do
    iptables -I INPUT -s $ip -p tcp --dport ssh -j DROP
done

実行するとiptables -Lドロップされたパケットの出力が得られる。

Answer

使用することもできますiptables

ブロックしたいIPアドレスを記述したファイルを作成します。blocked.ips.txt

次に、次の内容を含むスクリプトを作成して実行します。

blocked=$(egrep -v -E "^#|^$" ./blocked.ips.txt)
for ip in $blocked
do
    iptables -I INPUT -s $ip -p tcp --dport ssh -j DROP
done

実行するとiptables -Lドロップされたパケットの出力が得られる。

Question 3

iptables アプローチは最も直接的な方法です。Erik Handriks はこれをスクリプトとして提案しました。

ただし、2 つの問題があります。 - スクリプトは、再起動のたびに起動する必要があります (テーブルが iptables で内部的にバックアップされていない場合)。 - スクリプトをそのまま 2 回以上呼び出すと、エントリが重複します。

次のようにして悪者を捕まえてみましょう:

iptables -I 入力 -s BAD_IP -p tcp --dport ssh -j ドロップ

ほとんどのディストリビューションでは、iptables には独自のルール保存復元メカニズムがあります。 '/var/lib/iptables/rules-save' が存在するかどうかを確認してください。ディストリビューションによっては、別の場所 (gentoo の場合) にある可能性があります。

すべての BAD IP を追加した後、次の操作を試してください。

iptables-save > /var/lib/iptables/rules-save

再起動後、「iptables -L」で何があるか確認します...

Answer