Cara, coloca o pf pra rodar e coloca essa regra junto.
tcp_services = "{80}"
table <bruteforce> persist
block log quick from <bruteforce>
pass inet proto tcp from any to $ext_if port $tcp_services flags S/SA
synproxy state (max-src-conn 100, max-src-conn-rate 15/5, overload
<bruteforce> flush global)
Depois vc verifica com o comando "pfctl -t bruteforce -R sh" pra ver se
tem alguma coisa na tabela de bloqueados.
Para verificar o que o firewall esta bloqueando e logando roda o comando
"tcpdump -e -n -ttt -i pflog0"
Depois manda noticias ai.
Abraço.
_________________________________________
* *Jorge Petry Neto *
*Administrador de Redes e Servidores
(48) 8401-4436
jorge@xxxxxxxxxxxxx <mailto:jorge@xxxxxxxxxxxxx>*
**www.jspnet.com.br * <http://www.jspnet.com.br/>
Augusto Ferronato escreveu:
Tem como Snort + PF ??
Já vi Snort + IPTABLES e foi ralado pra configurar!
Abs[]
2008/6/30 Gilliatt Borges Bastos [ Atrium SP Consultores ] <
gilliatt@xxxxxxxxxxxxxxx>:
Antonio Carlos,
Eu acho a melhor opção nesses casos é utilizar um IDS, como o Snort, para
identificar e criar uma regra dinâmica no seu firewall bloqueando o
atacante.
Gilliatt Borges Bastos
Atrium São Paulo Consultores
www.atriumsp.com.br
Fone: 55 11 3049-1175
skype: gilliattbastos
Msn: gilliatt@xxxxxxxxxxxxxxx
P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o
comprometimento com os Custos
As informações existentes nessa mensagem e nos arquivos anexados são para
uso restrito, sendo seu sigilo protegido por lei. Caso não seja
destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor
apagar as informações e notificar o remetente. O uso impróprio será tratado
conforme as normas da empresa e a legislação em vigor.
The information contained in this message and in the attached files are
restricted, and its confidentiality protected by law. In case you are not
the addressee, be aware that the reading, spreading and copy of this
message
is unauthorized. Please, delete this message and notify the sender. The
improper use of this information will be treated according the company's
internal rules and legal laws.
-----Mensagem original-----
De: freebsd-bounces@xxxxxxxxxx [mailto:freebsd-bounces@xxxxxxxxxx] Em
nome
de Jorge Petry
Enviada em: segunda-feira, 30 de junho de 2008 11:16
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Assunto: Re: [FUG-BR] apache
qual firewall vc usa???
Antonio Carlos da Rocha Jr escreveu:
Bom dia lista, tudo bem colegas, estou tendo problema com ataques no
apache, quase todo dia estou sofrendo ataques no servidor web da
empresa, gostaria de saber se tem algum jeito de bloquear o ip do
atacante ... algo que depois de 5 requisicoes ele bloqueace o ip por
uma 30 hora ...
Antono Carlos
-------------------------
Histórico: [1]http://www.fug.com.br/historico/html/freebsd/
Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd
--
_________________________________________
Jorge Petry Neto
Administrador de Redes e Servidores
(48) 8401-4436
[3]jorge@xxxxxxxxxxxxx
[4]www.jspnet.com.br
References
1. http://www.fug.com.br/historico/html/freebsd/
2. https://www.fug.com.br/mailman/listinfo/freebsd
3. mailto:jorge@xxxxxxxxxxxxx
4. http://www.jspnet.com.br/
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
|