=====Notizen zu iptables=====

====Das Recent-Modul====

Das Recent-Modul von iptables/Netfilter ist sehr nützlich, wenn es darum geht Brute-Force-Attacken abzufangen, die zum Beispiel gegen SSH gerichtet sind und dabei hauptsächlich die Logs vollmüllen.

Dieses Ziel erreicht man beispielsweise mit dem folgenden Codeschnippsel((die Variablen sind natürlich vorher entsprechend zu setzen, ebenso sollte eine Chain //ssh// vorhanden und eingebaut sein)):

<code>
#setup ssh chain
${iptables} -A ssh --protocol tcp --destination ${own_ip} \
 --destination-port 22 --match state --state ! NEW,INVALID \
 --jump RETURN
${iptables} -A ssh --protocol tcp --destination ${own_ip} \
 --destination-port 22 --match state --state NEW,INVALID \
 --match recent --name ssh --update --seconds 90 --hitcount 4 \
 --match limit --limit 2/minute \
 --jump LOG --log-prefix "ssh_brute_force "
${iptables} -A ssh --protocol tcp --destination ${own_ip} \
 --destination-port 22 --match state --state NEW,INVALID \
 --match recent --name ssh --update --seconds 90 --hitcount 4 \
 --jump REJECT --reject-with tcp-reset
${iptables} -A ssh --protocol tcp --destination ${own_ip} \
 --destination-port 22 --match state --state NEW,INVALID \
 --match recent --name ssh --set --jump RETURN
</code>

Einige weitere Beispiele finden sich auf der [[http://snowman.net/projects/ipt_recent/|Homepage des Autors]].

====Miscellen====
  * [[http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-6.html|Weg, den ein Paket durch die verschiedenen Chains nimmt]]
  * [[http://linux-ip.net/nf/nfk-traversal.png|Detaillierte Grafik des Wegs, den ein Paket durch die verschiedenen Chains nimmt]]