https://opennet.dev/openforum/vsluhforumID3/57830.html Для предотвращения bruteforce-атак по подбору паролей во FreeBSD или OpenBSD можно использовать <br>возможность пакетного фильтра PF по лимитированию числа соединений за единицу времени в сочетании с блокировкой по таблицам.<br><br>Добавляем в /etc/pf.conf<br><br> # Подключаем ранее составленный список заблокированных за излишнее число коннектов IP<br> table &lt;ftp-attacks&gt; persist file "/etc/pf.ftp.block.list"<br> <br> # Блокируем все входящие соединения с IP, которые присутствуют в черном списке<br> block in quick on $ext_if from &lt;ftp-attacks&gt;<br> <br> # Выявляем IP с которых было более 5 обращений за 40 секунд <br> # и добавляем этот IP в ранее созданную таблицу блокировки<br> pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 21 keep state (max-src-conn-rate 5/40, overload &lt;ftp-attacks&gt; flush global)<br><br>Перечитываем конфигурацию PF:<br> /etc/rc.d/pf reload<br>или<br> /sbin/pfctl -f /etc/pf.conf <br><br>Далее, чтобы сохранить созданную таблицу блокировки между перезагрузками, необходимо добавить<br>в /etc/rc.shu https://opennet.dev/openforum/vsluhforumID3/57830.html#20 Wed, 09 Nov 2011 10:11:38 GMT У меня работает скрипт по крону анализируя лог ftp<br>и никаких списков не надо держать.<br>Больше 3-х неправильных заходов и пошел в bruteforce.<br>=================================<br>#!/bin/sh<br><br># add IP to PF table bruteforce<br>#<br>logfile="/var/log/xferlog"<br>grep "Authentication failed" ${logfile} &gt;/dev/null 2&gt;&1<br>if [ $? -eq 0 ]; then<br> set `grep "Authentication failed" ${logfile}&#124;sed 's/.*\@//; s/).*//'&#124;uniq -c`<br> while [ $# -ge 2 ]; do<br> ip=$2<br> count=$1<br> if [ $count -ge 3 ]; then<br> /sbin/pfctl -t bruteforce -T show &#124; grep $ip<br> if [ $? -ne 0 ]; then<br> /sbin/pfctl -t bruteforce -T add $ip<br> echo "Address $ip add to table PF \"bruteforce\"" &gt;&gt; /tmp/bruteforce<br> fi<br> fi<br> shift 2<br> done<br><br>fi<br>if [ -f /tmp/bruteforce ]; then<br> cat /tmp/bruteforce &#124; mail -s "Bruteforce" root; rm -rf /tmp/bruteforce<br>fi<br>/sbin/pfctl -t bruteforce -T expire 86400<br><br>exit<br> https://opennet.dev/openforum/vsluhforumID3/57830.html#19 Sat, 22 Aug 2009 02:12:09 GMT Сам нарисовал. fail2ban рулит.<br> https://opennet.dev/openforum/vsluhforumID3/57830.html#18 Mon, 17 Aug 2009 11:24:53 GMT &gt;угум .. нет PF'а - нет пролем с натом GRE и перебором <br>&gt;паролей .. <br><br>нет проблем<br><br> https://opennet.dev/openforum/vsluhforumID3/57830.html#17 Mon, 17 Aug 2009 11:24:14 GMT угум .. нет PF'а - нет пролем с натом GRE и перебором паролей ..<br> https://opennet.dev/openforum/vsluhforumID3/57830.html#16 Sat, 15 Aug 2009 09:02:09 GMT Манов ещё так много, а все нужно обязательно поместить на опеннет в виде заметок...<br> https://opennet.dev/openforum/vsluhforumID3/57830.html#15 Sat, 15 Aug 2009 00:09:06 GMT &gt;А разве "во FreeBSD или OpenBSD" нет простого fail2ban? <br><br>А нарисуйте-ка мне how-to для брута против ftp? <br>Буду искренне признателен.<br> https://opennet.dev/openforum/vsluhforumID3/57830.html#14 Sat, 15 Aug 2009 00:07:17 GMT &gt;pf не умеет( <br><br>Оть иманна. Нет PF - гулять лесом.<br><br> https://opennet.dev/openforum/vsluhforumID3/57830.html#13 Sat, 15 Aug 2009 00:06:10 GMT этому научим(*) - мысль есть, денег нет. Но, вообще, созреваю. fail2ban - целует морковь взасос или, по простому, сосёт. Нужно переписывать sshit. Только тупой &#124; в сканер логов дает эффект. РАМ, волшебным образом, бесполезен для диагностирования брутов.<br> https://opennet.dev/openforum/vsluhforumID3/57830.html#12 Fri, 14 Aug 2009 18:12:01 GMT pf не умеет(<br>