[Eisfair_dev] [eisfair-6?==?utf-8?Q?4] Paket sshguard 0.9.0

[Sebastian Ertz]

Hallo Ansgar,

ich kann deine Problematik verstehen. Habe gestern ein wenig rumprobiert
wie man die Ports in der Eisfair-Konfig-Schicht am besten umsetzt und
bin leider zu keiner Zufriedenstellendem Design gekommen. Weil man
müsste auch die Protokolle konfigurierbar machen.

1. Idee:
SSHGUARD_PORT_ALL='no'

SSHGUARD_PORT_N='zahl'

SSHGUARD_PORT_1_ACTIVE='yes'
SSHGUARD_PORT_1_PROTOCOL='tcp'
SSHGUARD_PORT_1_PORT='21'

SSHGUARD_PORT_2_ACTIVE='yes'
SSHGUARD_PORT_2_PROTOCOL='tcp'
SSHGUARD_PORT_2_PORT='22'

SSHGUARD_PORT_3_ACTIVE='yes'
SSHGUARD_PORT_3_PROTOCOL='udp'
SSHGUARD_PORT_3_PORT='5060'

usw.

Aber dies könnte zu einer verdammt langen Liste führen. Und verwirrend
für "normale"-Eisfair Nutzer sein.


2. Idee:
Standard:
SSHGUARD_CUSTOM_IPTABLES='' # Optionaler Parameter

Verändert (für Profis):
SSHGUARD_CUSTOM_IPTABLES='-m multiport -p tcp --destination-ports 21,22'
# Optionaler Parameter


3. Idee:
Standard:
SSHGUARD_IPTABLES_N='0'

Verändert (für Profis):
SSHGUARD_IPTABLES_N='2'

SSHGUARD_IPTABLES_1_ACTIVE='yes'
SSHGUARD_IPTABLES_1_PARA='-m multiport -p tcp --destination-ports
21,22'

SSHGUARD_IPTABLES_2_ACTIVE='yes'
SSHGUARD_IPTABLES_2_PARA='-m multiport -p udp --destination-ports
5060,10000-20000'


4. Idee:
SSHGUARD_PORTS_TCP='21,22'
SSHGUARD_PORTS_UDP='5060,10000-20000'
SSHGUARD_PORTS_xxx
..
(siehe /etc/protocols)


5. Idee: (Hier wird eine eigene Chain "SSHGuard" erzeugt, die auf die
Source-IP-Adresse des ipset "SSHGuard" dann Pakete DROPt)
SSHGUARD_IPTABLES_INPUT='yes' # Optionaler Parameter
yes = /usr/sbin/iptables -w -A INPUT -j SSHGuard
no  = (Nichts wird gemacht, der user muss sich selbst drum kümmern)


1-4: wird glaub ich zu Komplex
5: Der User muss sich selbst drum kümmern wann das Paket an die Chain
"SSHGuard" gesendet wird

Hast du eventuell eine bessere Idee?

Gruß
Sebastian