Г
можно пользоваться из коробки
Size: a a a
2020 April 24
PG
fail2ban
да, вроде оно. спасибо.
PG
Эклер 😞
VG
экслер?
PG
экслер?
Нет, это старый анекдот такой, не помнишь?
VG
напомни
PG
базовый blacklist мне кажется проще всего настроить, с учетом того что openssh во фре знает о blacklist. Те, например у меня вся настройка это
/etc/rc.conf
sshd_flags="-oPort=22 -oUseDNS=no -oPermitRootLogin=no -oUseBlacklist=yes"
blacklistd_enable="YES"
+
тк я через ipfw хочу лочить. Но там хелпер все три firewall поддерживает
/etc/rc.conf
sshd_flags="-oPort=22 -oUseDNS=no -oPermitRootLogin=no -oUseBlacklist=yes"
blacklistd_enable="YES"
+
touch /etc/ipfw-blacklist.rcтк я через ipfw хочу лочить. Но там хелпер все три firewall поддерживает
чот я сегодня тормоз, смотрю в хелпер и не очень врубаюсь - оно правило для блокировки адресов из таблиы по смещению 2000 создает, или я ошибаюсь?
PG
напомни
Мужик приходит в кондитерскую: "Дайте мне пожалуйста этих... Ну этих... Не как же их... А! Понимаете, у меня эклер, дайте мне два склероза!"
OG
чот я сегодня тормоз, смотрю в хелпер и не очень врубаюсь - оно правило для блокировки адресов из таблиы по смещению 2000 создает, или я ошибаюсь?
та, она ipfw table сопровождает
PG
та, она ipfw table сопровождает
но правила начинает с 2000 втыкать, да?
PG
(по дефолту)
OG
% b
acklistctl dump -ar
address/ma:port id nfail remaining time
51.158.117.176/32:22 OK 7/6 1h22m59s
112.45.122.9/32:22 2/6 15m50s
213.238.181.236/32:22 OK 7/6 1h38m
% ipfw table port22 list
51.158.117.176/32 0
213.238.181.236/32 0
OG
по дефолту да
PG
угу. я почему спрашиваю - что понимать, как это мне в собственные правила в правильное место вписать
PG
с логикой-то вопросов нет
PG
кстати, я правильно помню, что fail2ban умеет общую базу для нескольких хостов, или это опять эклер?
OG
Я кстати вспомнил, что на фре когда-то был проект распределенного firewall: https://www.freebsd.org/news/status/report-2011-07-2011-09.html#DIstributed-Firewall-and-Flow-shaper-Using-Statistical-Evidence-(DIFFUSE)
там можно было юзать че-то типа
ipfw send udp://<host> rule
Но у blacklistd скриптец хелпера крайне прост, можно что угодно вставить свое, чтобы на чем угодно доставить список для бана
там можно было юзать че-то типа
ipfw send udp://<host> rule
Но у blacklistd скриптец хелпера крайне прост, можно что угодно вставить свое, чтобы на чем угодно доставить список для бана
VG
а что с ним стало с тех пор?
AA
npf еще не портировали?
Г
кстати, я правильно помню, что fail2ban умеет общую базу для нескольких хостов, или это опять эклер?
все верно помните