AllowUsers root@MYIP в sshd_config не дал результата, решил использовать iptables
Код: Выделить всё
iptables -A INPUT -s! MYIP --dport 22 -j DROP
просто не стал работать. Попробовал порткнокинг:
Код: Выделить всё
#--------------------------------------
iptables -N sshguard
# Если адрес в списке, то подключение разрешено
iptables -A sshguard -m state --state NEW -m recent --rcheck --name SSH -j ACCEPT
# Разрешить пакеты для уже установленных соединений
iptables -A sshguard -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A sshguard -j DROP
# Заносит адрес в список
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
# Удаляет адрес из списка
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
# Применение для трафика ssh цепочку sshguard
iptables -A INPUT --dport 22 -j sshguard
#--------------------------------------
Доступ не закрылся...
Не знаю что и делать.
Скрипт правил имеет такую структуру:
Код: Выделить всё
#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s! MYIP --dport 111 -j DROP
iptables -A INPUT -s! MYIP --dport 3306 -j DROP
#IP-BANS
iptables -I INPUT -j DROP -s X.X.X.X/16
#etc...
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables-save
Debian Lenny
Linux version 2.6.18 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Wed Jun 1 13:20:25 MSD 2011
iptables v1.4.8
Причина сброса правила для 22 порта (см выше) мне не ясна, хотя абсолютно идентичные правила для 111 и 3306 портов срабатывают корректно.
Помогите разобраться в ситуации.