סקריפט נחמד מאוד, אבל תבטל את כל ההגנות מ 127.0.0.1:
קוד: |
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i ! lo -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ! lo -p tcp --dport 22 -j ACCEPT
|
עצה: תוסיף chain שהוא בלאקליסט שבו תשים כתובות של אנשים שאתה לא רוצה קשר איתם. אם אתה רוצה לשפר את זה יותר, תעשה סקריפט שמקשיב לפורטים "אטרקטיביים" ומכניס לבלאקליסט את כל מי שנכנס לפורטים האלה. אני עשיתי סקריפט כזה (בסיסי מאוד) שמקשיב לפורט 135 TCP:
קוד: |
#!/usr/bin/perl
use IO::Socket;
$socket=IO::Socket::INET->new(LocalPort=>135,Proto=>'tcp',Listen=>1,Reuse=>1) or die "Socket: $!\n";
print "Trap is up and running\n";
while(1) {
$cli=$socket->accept();
my $host=$cli->peerhost();
print "$host has connected and will be added to the blacklist\n";
system("iptables -A EXCEPTIONS -s $host -j DROP");
close($cli);
}
END {
close($socket);
}
|