[Eisfair_dev] [eisfair-6?==?utf-8?Q?4] Paket sshguard 0.9.0
Sebastian Ertz
sebastian.ertz at tk-ertz.de
Mo Jul 6 11:43:23 CEST 2020
Hallo Ansgar,
ich kann deine Problematik verstehen. Habe gestern ein wenig rumprobiert
wie man die Ports in der Eisfair-Konfig-Schicht am besten umsetzt und
bin leider zu keiner Zufriedenstellendem Design gekommen. Weil man
müsste auch die Protokolle konfigurierbar machen.
1. Idee:
SSHGUARD_PORT_ALL='no'
SSHGUARD_PORT_N='zahl'
SSHGUARD_PORT_1_ACTIVE='yes'
SSHGUARD_PORT_1_PROTOCOL='tcp'
SSHGUARD_PORT_1_PORT='21'
SSHGUARD_PORT_2_ACTIVE='yes'
SSHGUARD_PORT_2_PROTOCOL='tcp'
SSHGUARD_PORT_2_PORT='22'
SSHGUARD_PORT_3_ACTIVE='yes'
SSHGUARD_PORT_3_PROTOCOL='udp'
SSHGUARD_PORT_3_PORT='5060'
usw.
Aber dies könnte zu einer verdammt langen Liste führen. Und verwirrend
für "normale"-Eisfair Nutzer sein.
2. Idee:
Standard:
SSHGUARD_CUSTOM_IPTABLES='' # Optionaler Parameter
Verändert (für Profis):
SSHGUARD_CUSTOM_IPTABLES='-m multiport -p tcp --destination-ports 21,22'
# Optionaler Parameter
3. Idee:
Standard:
SSHGUARD_IPTABLES_N='0'
Verändert (für Profis):
SSHGUARD_IPTABLES_N='2'
SSHGUARD_IPTABLES_1_ACTIVE='yes'
SSHGUARD_IPTABLES_1_PARA='-m multiport -p tcp --destination-ports
21,22'
SSHGUARD_IPTABLES_2_ACTIVE='yes'
SSHGUARD_IPTABLES_2_PARA='-m multiport -p udp --destination-ports
5060,10000-20000'
4. Idee:
SSHGUARD_PORTS_TCP='21,22'
SSHGUARD_PORTS_UDP='5060,10000-20000'
SSHGUARD_PORTS_xxx
..
(siehe /etc/protocols)
5. Idee: (Hier wird eine eigene Chain "SSHGuard" erzeugt, die auf die
Source-IP-Adresse des ipset "SSHGuard" dann Pakete DROPt)
SSHGUARD_IPTABLES_INPUT='yes' # Optionaler Parameter
yes = /usr/sbin/iptables -w -A INPUT -j SSHGuard
no = (Nichts wird gemacht, der user muss sich selbst drum kümmern)
1-4: wird glaub ich zu Komplex
5: Der User muss sich selbst drum kümmern wann das Paket an die Chain
"SSHGuard" gesendet wird
Hast du eventuell eine bessere Idee?
Gruß
Sebastian
Mehr Informationen über die Mailingliste Eisfair_dev