[Linux-Biella] block port 25
vallini.daniele a bilug.linux.it
vallini.daniele a bilug.linux.it
Gio 31 Ott 2013 14:33:21 CET
Thu, Oct 31, 2013 at 02:12:57PM +0100 Cristiano Larghi ha scritto:
> Ciao,
> un server che mi hanno dato in gestione ha subito un bell'attacchino:
> praticamente un loro cliente si è beccato un virus, che ha usato il loro
> smtp (il cliente è abilitato ad usarlo) per spammare di bestia, così ora
> hanno l'IP in varie black-list.
>
> Ho usato tempo fa un bell'oggettino semplice, dove definivi delle
> semplici regole, tipo "se ci sono più di tot richieste in tot tempo
> nella porta X bloccala per tot minuti", non mi sovviene però il nome del
> pacchetto.
>
> Vorrei fare la stessa cosa sulla porta 25 legata ad una casella mail: se
> una mail invia più di tot mail in tot tempo, blocca quella mail.
>
> Sarà fattibile? Esisterà qualcosa? Sapete consigliarmi cosa usare?
Non e' proprio quello che desideri ma il principio e' quello e ti puo'
servire per farti uno script di parsing di log ed azione
fail2ban - bandisce le macchine che causano molteplici errori di autenticazione
Fail2ban tiene sott'occhio i file di log (es: /var/log/auth.log,
/var/log/apache/access.log) e bandisce in modo temporaneo o permanente gli
indirizzi soggetti a errori, aggiornando le regole di firewall. Fail2ban
permette di specificare in modo semplice le diverse azioni da
intraprendere, come bandire un IP tramite regole iptables o hostsdeny o
semplicemente spedire un messaggio di notifica.
.
In modo predefinito, comprende espressioni di filtro per diversi servizi
(sshd, apache, qmail, proftpd, sasl ecc.), ma la configurazione può essere
facilmente estesa per controllare qualunque altro file di testo. Tutti i
filtri e le azioni sono specificati nei file di configurazione, quindi
fail2ban può essere adattato per l'uso con svariati file e firewall.
Homepage: http://www.fail2ban.org
--
Daniele
Maggiori informazioni sulla lista
Linux