Obmedzenie pristupu na ssh z CZ a SK (Was: Re: sshd)

[Marian Cerny]

On 2005-11-09 17:03 +0100, Petr Macek wrote:
> K tomu bych taky neco mel:
> Mam plne logy podobnych hlasek, z jeden IP nekdo zkousi hesla (ssh).
> U jednoho linuxu jsem potkal reseni, ze kdyz se to z jedne IP nekolikrat 
> nepovede, ze byla problematicka IP nejak zariznuta (ale myslim ne ze to 
> enbylo firewallem, ale primo ssh si tu IP pridalo do nejakeho souboru a 
> chvili ji ignorovalo).
> Ale je to nejaka historicka vec, uz ani nevim, jak to byla distribuce.
> Nejde neco takoveho na BSD?
> 
> Periodic mi posila denne vystupy a tyto hlasky tvori casto i 90% mailu.
> PM

Ja to riesim pomocou pf, povolujem iba pristup z ceskej a slovenskej
republiky:

	table <geoip_cz_sk> persist file "/usr/local/etc/pf/geoip.cz_sk.table"

	# pristup na ssh iba z CZ a SK
	block in  log on $ext_if proto tcp from any to $ext_if port ssh
	pass  in  on $ext_if proto tcp from <geoip_cz_sk> to $ext_if port ssh keep state

Tablku geoip.cz_sk.table som si vytvoril z free geoip databaze
GeoIPCountryWhois.csv skriptom:

	countries="(CZ|SK)"

	egrep $countries | cut -d , -f 1,2,5 | sed 's/"//g;s/,/ /g' |

	while read ip_from ip_to country
	do
		echo "# $country: $ip_from - $ip_to"
		./cidr_range.pl $ip_from $ip_to
	done

(sh skript.sh < GeoIPCountryWhois.csv > geoip.cz_sk.table)

Skript cidr_range.pl sa da stiahnut niekde z internetu, ale mam kopiu, keby s
tym mal niekto problem. Keby chcel niekto hotovu tabulku geoip.cz_sk.table,
mozem tiez dodat.

Funguje to k mojej maximalnej spokojnosti: odvtedy ziadne taketo hlasky v
logoch. Zaroven ziadne problemy s prihlasenim, ktorych som sa trosku obaval
(ale nemame vela userov na serveri).

-- 
Marian Cerny <jojo at matfyz.cz>
Jabber: jojo at njs.netlab.cz

[ UNIX is user friendly. It's just selective about who its friends are. ]