Problem mit iptables, recent, state und update

[mistersixt]

Moin moin,

warum wollen diese Zeilen nicht den SSH-Zugang blocken, wenn mehr als 3 Anfragen pro Minute ankommen?

Code: Alles auswählen

...
IPTABLES=/sbin/iptables
EXTIF=eth0
...
#
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -m state --state NEW 
   -m recent --set
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -m state --state NEW 
   -m recent --update --seconds 60 --hitcount 4 -j LOG \ 
   --log-prefix 'SSHD BREAKIN TRY : '
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -m state --state NEW 
   -m recent --update --seconds 60 --hitcount 4 -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp --syn --dport 22 -j ACCEPT
#
...

Das sind die ersten und einzigen Zeilen bezgl. Port 22. Egal wie schnell die SSH-Connects ankommen, sie werden einfach nicht geblockt. Das System ist Debian Etch mit 2.6.18-4.

Jemand eine Idee?

Grüsse, mistersixt.

[chroiss]

schon mal so versucht ?

Code: Alles auswählen

IPTABLES=/sbin/iptables
EXTIF=eth0

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -m state --state ESTABLISHED --tcp-flags FIN,ACK FIN,ACK -m recent --name sshattack --set
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -m state --state ESTABLISHED --tcp-flags RST RST -m recent --name sshattack --set
$IPTABLES -A INPUT -i $EXTIF -j LOG --log-prefix 'SSHD BREAKIN TRY : ' -m recent --name sshattack --rcheck --seconds 60 --hitcount 4 -m limit --limit 4/minute
$IPTABLES -A INPUT -i $EXTIF -j DROP -m recent --name sshattack --rcheck --seconds 60 --hitcount 4
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT

gruss chroiss

Edit
Das mit ESTABLISHED ist kein Tippfehler Stimmt schon so . . .
Edit

[mistersixt]

Auch eine interessante Variante, danke! Aus irgendwelchen Gründen geht nun auch (wieder) meine Variante, obwohl ich nichts verändert habe. Wobei: ein reboot war dazwischen, vielleicht hatte sich da was "aufgehängt"...

Wie auch immer, danke nochmal für Deine Variante, die ist noch besser !

Gruss, mistersixt.