LessSecurity
New Member
Hallo.
Jeder mit einem Server kennt ja das Problem mit Spam, ssh-bruteforcing etc.
Natürlich benutze ich uA. fail2ban um dem Einhalt zu gebieten. Zusätzlich dazu nutze ich iptables mit reject-regel, gefüttert von öffentlichen und eigenen Blacklists.
Allerdings gibts zB. auch Referrerspam in meinen Statistiken. Könnte ich zwar mit webalizereigenen Mitteln abwehren, oder htaccess (mit htaccess in dem Punkt noch nicht auseinandergesetzt), aber ich hab mir was ausgedacht.
Nachdem ich einen Server angepingt habe bemerkte ich dass die Antwort von 127.0.0.1 kommt.
So kam ich auf die Idee, dass jemandem der zuviele Fehlversuche bei ssh hat, quasi sich selber brutet, indem ich eine forwardingregel oÄ. anwende die auf 127.0.0.1 verweist.
Allerdings tun sich da möglicherweise Probleme mit auf.
Würde so ein forward den Angreifer überhaupt erreichen, oder würde die 127... auf meinen servereigenen localhost verweisen?
Ein Angreifer könnte seine IP ja manipulieren. Angenommen er hat 1.2.3.4 aber manipuliert seine IP so dass es für meinen Server aussieht als kämen die Anfragen von 2.4.6.8 . Wie könnte ich verhindern dass mein Server dann an 2.4.6.8 weiterleitet, und würde er das überhaupt tun?
Mir würde es nämlich nicht gefallen, wenn es auf einmal so aussieht als würde mein Server zB. einen komplett unbeteiligten Server bruten würde. Ich will Unbeteiligte ja komplett aus dem Spiel lassen.
Und ganz wichtig wäre für mich erst mal zu wissen, was war überhaupt passiert als ich den Server angepingt habe, und der reply augenscheinlich vom localhost kam?
Jeder mit einem Server kennt ja das Problem mit Spam, ssh-bruteforcing etc.
Natürlich benutze ich uA. fail2ban um dem Einhalt zu gebieten. Zusätzlich dazu nutze ich iptables mit reject-regel, gefüttert von öffentlichen und eigenen Blacklists.
Allerdings gibts zB. auch Referrerspam in meinen Statistiken. Könnte ich zwar mit webalizereigenen Mitteln abwehren, oder htaccess (mit htaccess in dem Punkt noch nicht auseinandergesetzt), aber ich hab mir was ausgedacht.
Nachdem ich einen Server angepingt habe bemerkte ich dass die Antwort von 127.0.0.1 kommt.
So kam ich auf die Idee, dass jemandem der zuviele Fehlversuche bei ssh hat, quasi sich selber brutet, indem ich eine forwardingregel oÄ. anwende die auf 127.0.0.1 verweist.
Allerdings tun sich da möglicherweise Probleme mit auf.
Würde so ein forward den Angreifer überhaupt erreichen, oder würde die 127... auf meinen servereigenen localhost verweisen?
Ein Angreifer könnte seine IP ja manipulieren. Angenommen er hat 1.2.3.4 aber manipuliert seine IP so dass es für meinen Server aussieht als kämen die Anfragen von 2.4.6.8 . Wie könnte ich verhindern dass mein Server dann an 2.4.6.8 weiterleitet, und würde er das überhaupt tun?
Mir würde es nämlich nicht gefallen, wenn es auf einmal so aussieht als würde mein Server zB. einen komplett unbeteiligten Server bruten würde. Ich will Unbeteiligte ja komplett aus dem Spiel lassen.
Und ganz wichtig wäre für mich erst mal zu wissen, was war überhaupt passiert als ich den Server angepingt habe, und der reply augenscheinlich vom localhost kam?