这是一个创建于 2551 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前用过 fail2ban,后来发现还是有问题,每天 last 看有大量的尝试,看着就烦,后来研究了一下 iptables,具体如下
新建自己 IP 库 链
iptables -N myip
所有访问 22 端口的先检查 myip 链
iptables -A INPUT -p tcp --dport 22 -j myip
检查后返回来的都扔掉
iptables -A INPUT -p tcp --dport 22 -j DROP
在 myip 链上加入自己的 IP (段),允许通过
iptables -A myip -s 222.222.222.222/32 -j ACCEPT
iptables -A myip -s 111.224.0.0/16 -j ACCEPT
其它 ip 返回去
iptables -A myip -j RETURN
整体效果
Chain INPUT (policy ACCEPT 1566 packets, 551K bytes)
pkts bytes target prot opt in out source destination
1362 136K myip tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
6 328 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT 1086 packets, 435K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2006 packets, 595K bytes)
pkts bytes target prot opt in out source destination
Chain myip (1 references)
pkts bytes target prot opt in out source destination
676 78901 ACCEPT all -- * * 222.223.222.222/32 0.0.0.0/0
678 56618 ACCEPT all -- * * 111.224.0.0/16 0.0.0.0/0
8 408 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
保存
iptables-save > /etc/iptables.rules
在网卡中生效
vi /etc/network/interfaces
pre-up iptables-restore < /etc/iptables.rules
新建自己 IP 库 链
iptables -N myip
所有访问 22 端口的先检查 myip 链
iptables -A INPUT -p tcp --dport 22 -j myip
检查后返回来的都扔掉
iptables -A INPUT -p tcp --dport 22 -j DROP
在 myip 链上加入自己的 IP (段),允许通过
iptables -A myip -s 222.222.222.222/32 -j ACCEPT
iptables -A myip -s 111.224.0.0/16 -j ACCEPT
其它 ip 返回去
iptables -A myip -j RETURN
整体效果
Chain INPUT (policy ACCEPT 1566 packets, 551K bytes)
pkts bytes target prot opt in out source destination
1362 136K myip tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
6 328 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT 1086 packets, 435K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2006 packets, 595K bytes)
pkts bytes target prot opt in out source destination
Chain myip (1 references)
pkts bytes target prot opt in out source destination
676 78901 ACCEPT all -- * * 222.223.222.222/32 0.0.0.0/0
678 56618 ACCEPT all -- * * 111.224.0.0/16 0.0.0.0/0
8 408 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
保存
iptables-save > /etc/iptables.rules
在网卡中生效
vi /etc/network/interfaces
pre-up iptables-restore < /etc/iptables.rules
 |
1
TimePPT PRO 改 SSH 登录端口,然后仅密钥验证,禁密码登录和 Root 登录,指定有限账户名。
之后对所有不满足设置的登录尝试一律 ban 了就行。 |
 |
2
siglalala 2019 年 1 月 16 日
iptables 搭配 ipset 建表 动态管理更好吧。
|
 |
3
des 2019 年 1 月 16 日 via Android
改端口禁 icmp,立马安静
|
 |
4
BOYPT 2019 年 1 月 16 日
ipset 了解一下
|
 |
5
ctro15547 2019 年 1 月 16 日
fail2ban 封的时间不够长,试试错一次封 1 个月、1 年
|
 |
7
AntonChen 2019 年 1 月 16 日
可以用 ICMP 敲门的方式比这个好,ICMP 敲门 = 发送特定 ICMP 包 iptables 收到包之后把 IP 加到 SSH 允许列表中。
|
 |
9
est 2019 年 1 月 16 日  1
@AntonChen 我这边是 tcp 敲门。要在浏览器地址栏输入
http://IP:端口 1 http://IP:端口 2 http://IP:端口 3 三个端口才能用 ssh。当然这三个端口是没响应的,但是服务器会识别 SYN 包。 |
|
10
AntonChen 2019 年 1 月 16 日
|
 |
12
digimoon 2019 年 1 月 16 日
设置 ddns,vps 解析 ddns 后将 ip 加到允许
或者将 ip 放到某个在线网盘 vps 用 api 读 实时性没有敲门的方式好 |
 |
14
gouchaoer 2019 年 1 月 16 日 via Android
你改个复杂点的密码不就完了?脸滚出来的超过 10 位无法爆破,纠结这个干嘛。。。
|
 |
15
swulling 2019 年 1 月 16 日 1
密钥就完了,哪那么复杂,多设备就搞多个密钥就完了
如果有人说需要在公共电脑上登录之类,那就用 google authenticator 之类的做两步验证,足够安全 |
 |
16
titanium98118 2019 年 1 月 16 日
其实用证书认证登录也会被爆吗?
|
|
17
swulling 2019 年 1 月 16 日 1
|
 |
20
xuanhh 2019 年 1 月 17 日
你这个先把默认端口改了就能减少 80%甚至更多的尝试。
|
 |
21
tvirus 2019 年 2 月 9 日
hosts.allow 和 hosts.deny
|
Select Language