Ausgabe von "lastb" in iptables eingeben

[Noahsraven]

Hi,
habe mir in den letzten Tagen mit dem Befehl lastb die erfolglosen Login-Versuche auf meinem Testserver anzeigen lassen.
Und habe neben IP's (deren Adressbereiche ich bereits in iptables ausgesperrt habe) u.a. folgende Einträge gefunden:

root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:37 - 17:37 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:36 - 17:36 (00:00)
root ssh:notty ppp59-167-130-31 Thu Sep 14 17:36 - 17:36 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty ec2-13-54-136-89 Thu Sep 14 16:03 - 16:03 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
admin ssh:notty business-80-98-9 Thu Sep 14 15:09 - 15:09 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)
pi ssh:notty p4fc0009c.dip0.t Fri Sep 15 00:42 - 00:42 (00:00)

root@testserver:~# host dip0.t
Host p4fc0009c.dip0.t not found: 3(NXDOMAIN)
root@testserver:~# whois dip0.t
Für diese Art von Objekten ist kein Whois-Server bekannt.
root@testserver:~#

Nun sind das keine eindeutigen IP's/Domains deren IP-Adressbereich ich ausfindig machen kann.
Diese Hostnamen(?) einzeln in die iptables einzutragen habe ich mich noch nicht getraut weil Angst habe mir die iptables wegen der Syntax zu zerschießen.
Ausserdem finde ich es mühselig die einzeln einzutragen statt deren ganzen IP-Bereich zu blocken.
Wie kann ich zurückverfolgen aus welchem IP-Bereich diese Hosts kommen?

Danke
Noah's Raven

[BenutzerGa4gooPh]

Willkommen im Forum!
Da wirst du wohl eine Regel erstellen müssen, die loggt.
Erst kommt deine spezielle Zugangsregel auf Port 22 (SSH) mit permit.
Danach und alles andere (any) auf Port 22 Deny + Log. Somit hat man die Quelladressen. Wird jedoch viel werden.
fail2ban (anklicken, Paket-Beschreibung lesen!) könnte beim automatischen Sperren/Loggen hilfreich sein: viewtopic.php?f=37&t=166805

[DeletedUserReAsG]

Code: Alles auswählen

lastb --help

…
 -i, --ip             IP-Nummern in Nummern- und Punktnotation anzeigen
…

rtfm …

[mat6937]

pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)
pi ssh:notty p579ad59e.dip0.t Fri Sep 15 01:48 - 01:48 (00:00)

root@testserver:~# host dip0.t
Host p4fc0009c.dip0.t not found: 3(NXDOMAIN)
root@testserver:~# whois dip0.t
Für diese Art von Objekten ist kein Whois-Server bekannt.
root@testserver:~#

Nun sind das keine eindeutigen IP's/Domains deren IP-Adressbereich ich ausfindig machen kann.

Deine Ausgabe ist nicht vollständig. Du musst die domain (betr. die Telekom) ergänzen/vervollständigen mit "-ipconnect.de". Z. B. so:

Code: Alles auswählen

:~$ host -t A p4fc0009c.dip0.t-ipconnect.de
p4fc0009c.dip0.t-ipconnect.de has address 79.192.0.156

Das sind evt. externe IP-Adressen (hostnamen) die nur für einen Zeitraum von 24 Stunden zugewiesen sind.