Galera,
Estava com um problema na empresa onde trabalho, o servidor está com o
IPtables bloqueando tudo certinho,
mas tinham alguns IPs que tentavam acessá-lo muitas vezes ao dia.
Isto gerava muitos Logs no SYSLOG, então eu queria bloquear esses IPs definitivamente, mas sem tirar a regra do IPtables.
Para que outro IP, ao tentar invadir o servidor e fosse registrado, então apliquei os métodos abaixo.
Obs.: Estes IPs bloqueados, foram os que tentaram acessar o Servidor através de portas não permitidas.
Depois de estudar um pouco sobre alguns comandos que conhecia pouco, como o 'sed' e 'awk', para resolver meu problema
pelo menos por agora, fiz o seguinte:
1º método:
cat /var/log/syslog | grep "FIREWALL INPUT"| awk '$12 !~ "10.10"{print $12, "\t"}' | sed "s/SRC=/ALL: /g" >
/tmp/ips
- Com o 'cat': ele lista o que tem no SYSLOG.
- Com o 'grep': procura pelo Log do IPtables, cujo bloqueio foi feito na 'chain' INPUT.
- Com o 'awk': ele imprime a 12ª coluna ($12) somente se for diferente de 10.10 (minha rede interna).
- Com o 'sed': ele substitui todos os registros "SRC=" por "ALL: " e joga no arquivo "/tmp/ips".
2º método:
Não enviei o resultado direto pro arquivo definitivo, porque tinham muitos registros repetidos, então, peguei este
Script do @Gabriel,
que por sinal é muito útil.
Nele, fiz algumas modificações pra se adequar às minhas necessidades, como o arquivo onde ele pega as informações é o
meu arquivo criado anteriormente: "/tmp/ips", e ele joga as informações no "/etc/hosts.deny".
Com isto, consegui bloquear os IPs que tentavam acessar minha rede através de portas bloqueadas.
Tem outra alternativa, que seria colocar este IPs em um arquivo, e fazer um 'for' no script do IPtables, depois o script leria
este arquivo e o bloqueio seria através do IPtables, mas resolvi fazer assim mesmo. =]
Depois coloquei no crontab, para que ele fizesse isto automático pra mim.
É muito provável que tenham diversos programas que já façam isso, como o Fail2Ban, mas com este, tive algumas
dificuldades em configurá-lo, então meti a mão na massa. =]
Caso alguém tenha alguma sugestão, estou no aguardo.
Nenhum comentário foi encontrado.