Mam pewien problem, którego nie mogę rozwiązać. Chodzi o to, że na ruterze ustawione jest przekierowanie portu 3389 do wewnętrznego serwera terminali. Od pewnego czasu widzę że sporo botów próbuje się zalogować na serwer terminali i chciałbym to ukrócić. Jak widzę, ilość połączeń rzędu 100-200k na 48 godzin, to widać, że komuś zależy. O włamanie się w sumie nie boję (tą metodą) gdyż hasła składają się z co najmniej 8 znaków, kombinacji małych, wielkich liter i cyfr i ban za 5 złych prób na dane konto. Mimo wszystko chcę to ukrócić. Na ruterze mam przekierowanie zrobione na takiej zasadzie:
Kod: Zaznacz cały
$IPTABLES -A FORWARD -p tcp -d 192.168.0.246 --dport 3389 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -i eth3 -s 0/0 --dport 3389 -j DNAT --to 192.168.0.246:3389
I teraz. chciałbym utworzyć regułę, że jak ktoś połączy się więcej niż trzy razy w ciągu 300 sekund to dostaje bana. Dla ssh używam takiego rozwiązania w iptables, które działa znakomicie ale dla łańcucha przekierowania nie chce:
Kod: Zaznacz cały
$IPTABLES -A FORWARD -p tcp --dport 22 -i $IFACE -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 22 -i $IFACE -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG --log-prefix"IPT SSH_brute_force"
$IPTABLES -A FORWARD -p tcp --dport 22 -i $IFACE -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
Czy ktoś ma pomysł jak w locie blokować połączenia na port 3389, który kieruje ruch tak jak robi się to z ssh?
Pozdrawiam.
