derschakal83
Registered User
Hallo Leute!
Ich hab heute versucht, meinen Server mit einem Honeypot auszustatten. Dazu hab ich das folgende Script verwendet.
itables -N honeypot
iptables -A INPUT -s ! 127.0.0.1 -j honeypot
iptables -A honeypot -m recent --update --seconds 60 --name portscan -j DROP
iptables -A honeypot -p tcp -m tcp --dport 21 -m recent --name portscan --set -j LOG --log-prefix "IPTABLES -- HONEYPOT -- P 21 " --log-level 6 --log-ip-options
iptables -A honeypot -p tcp -m tcp --dport 21 -m recent --name portscan --set -j DROP
iptables -A honeypot -j RETURN
Das funktioniert auch ganz wunderbar, potenzielle Angreifer werden geblockt. Allerdings wird die IP nach der angegebenen Zeit (60 Sekunden) nicht wieder freigegeben, sondern dauerhaft geblockt. Erst wenn ich den Firewall-Dienst neustarte, kann der geblockte PC wieder zugreifen.
Hat einer von euch ne Erklärung / Lösung dafür?
Vielen Dank!
Gruß Tobi
Ich hab heute versucht, meinen Server mit einem Honeypot auszustatten. Dazu hab ich das folgende Script verwendet.
itables -N honeypot
iptables -A INPUT -s ! 127.0.0.1 -j honeypot
iptables -A honeypot -m recent --update --seconds 60 --name portscan -j DROP
iptables -A honeypot -p tcp -m tcp --dport 21 -m recent --name portscan --set -j LOG --log-prefix "IPTABLES -- HONEYPOT -- P 21 " --log-level 6 --log-ip-options
iptables -A honeypot -p tcp -m tcp --dport 21 -m recent --name portscan --set -j DROP
iptables -A honeypot -j RETURN
Das funktioniert auch ganz wunderbar, potenzielle Angreifer werden geblockt. Allerdings wird die IP nach der angegebenen Zeit (60 Sekunden) nicht wieder freigegeben, sondern dauerhaft geblockt. Erst wenn ich den Firewall-Dienst neustarte, kann der geblockte PC wieder zugreifen.
Hat einer von euch ne Erklärung / Lösung dafür?
Vielen Dank!
Gruß Tobi