Automazione di pfctl per bloccare connessioni e IP in entrata

0

Ottengo un sacco di traffico indesiderato dagli indirizzi IP cinesi. Sto usando un vecchio Mac con OS X 10.7.5 (il mio Mac è antico, quindi non posso aggiornarlo ulteriormente), quindi immagino sia più vulnerabile di un Mac più recente.

Questa pagina ha dato un eccellente tutorial su come usare pfctl per rilevare sshd "attaccanti" che violano determinate regole e le aggiungono a una lista nera. Nella mia comprensione ingenua, si applica solo alle connessioni sshd .

Come posso generalizzare quella esercitazione per bloccare anche altri tipi di traffico? In particolare, ho traffico indesiderato che coinvolge sshd , sshd-keygen-wrapper e screensharingd , sebbene io amo bloccare qualsiasi traffico che ha troppe connessioni simultanee o troppi tentativi entro un certo periodo di tempo.

    
posta jvriesem 25.01.2017 - 20:47
fonte

1 risposta

1

Puoi semplicemente sostituire:

table <attackers> persist
block log quick from <attackers>
pass in quick proto tcp from any port ssh flags S/SA keep state (max-src-conn 3, max-src-conn-rate 5/60, overload <attackers> flush global)

con:

table <attackers> persist
block log quick from <attackers>
pass in quick proto tcp from any flags S/SA keep state (max-src-conn 3, max-src-conn-rate 5/60,  overload <attackers> flush global)

Se vuoi limitare questo a porte singole usa: ... port {22, 443, 5900:5902} ... invece di ... port ssh ... .

    
risposta data 25.01.2017 - 22:35
fonte

Leggi altre domande sui tag