Gesperte IPs

[racer]

Hi @ all,

ich habe wegen Angriffen auf meinen Server einige IP-Adressen gesperrt.
Gibt es eine Datei, in der ich die gesperrten IPs sehe?
Wie komme ich an diese IPs wieder ran?
Und mit welchem Befehl kann ich die IPs wieder entsperren?

mfg
racer

 

[Mordor]

Kommt drauf an, wie du sie gesperrt hast:

1. hosts.deny
Dann stehen diese IPs in der hosts.deny. Diese befindet sich im etc Verzeichnis. Wenn du sie aus der hosts.deny löschst, musst du das Netzwerkinterface neu starten.

2. IpTables
Dann kannst du sie mit

iptables -vL

sehen.

 

[racer]

Hi,
danke erstmal für die Info!

Habs mit iptables gemacht. Weißt du auch, wie ich sie wieder entsperre?

mfg
racer

 

[flobbie]

Dokumentation iptables:

-D, --delete chain rule-specification
-D, --delete chain rulenum
Delete one or more rules from the selected chain. There are two
versions of this command: the rule can be specified as a number
in the chain (starting at 1 for the first rule) or a rule to
match.

Also alle auflisten, und dann nicht benötigte einfach löschen.

 

[racer]

Danke!
Hat super geklappt ;-)

mfg
racer

 

[Raze]

Je nach Art und Weise der Angriffe ( ich gehe mal von SSH Brute Force aus ), kannst du auch sshguard einsetzen. Syslog das ins auth.log protokollieren lassen, den Rest macht der sshguard und iptables automatisch.

z.B. nach 5 fehlerhaften Logins alle Pakete von der Quell-IP droppen. Einfach, wirksam, kaum Aufwand im Betrieb

 

[racer]

Hi,
danke auch für deine Info!
Hat sich nicht um einen ssh-Angriff gehandelt sondern um Angriffe die gezielt Sicherheitslücken aufsuchen (http).

mfg
racer

 

[Raze]

Da kann dann fail2ban sehr interessant sein

Wir hatten hier einmal Probleme mit einem Bot, dessen Aufruf immer einem bestimmten Muster folgte. Mit fail2ban hat sichs dann ausgebottet gehabt

 

[racer]

...und das arbeitet schon auf meinem Server :-D

mfg
racer