Все делается тремя правилами:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m
hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip
--hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
Что делает второе и третье правило понятно. Все самое интересное в
первом: оно разрешает 2 попытки подключения в течение часа. Как только
вы превышаете 2 попытки за указанное время, правило с -j ACCEPT
перестает работать, пользователь вместо этого попадает в следующее
правило с -j DROP (точно также можно поставить TARPIT). После этого вы
не сможете подключиться, и начинается обратный отсчет 60 000
миллисекунд, после которых информация о вашей попытке «протухает»
параметр --hashlimit-htable-expire). То есть реально вам придеся ждать
не 1 час, а всего 1 минуту. Вся военная хитрость состоит в том, что если
вы не дождетесь этого времени и попробуете еще раз подключиться, то
пакет будет убит, а счетчик снова сброшен в начальное состояние — 1
минуту! Таким образом, если вы нетерпеливый брутфорсер и будете тупо
долбать порт после блокировки, то вы с каждой попыткой будете продлевать
свой бан! То есть забаните себя навечно!
Добропорядочный же пользователь наборот имеет несколько попыток подключения без ожидания между ними прежде чем попадет в «баню».
Модуль hashlimit сохраняет свое состояние в /proc — поначалу там пусто:
# cat /proc/net/ipt_hashlimit/SSH
после первой попытки подключения туда попадает инфа:
# cat /proc/net/ipt_hashlimit/SSH
55 ХХ.ХХ.ХХ.ХХ:0->0.0.0.0:0 11533000 230400000 115000000
первое число — кол-во оставшихся секунд, можно смотреть как оно равномерно тикает:
# cat /proc/net/ipt_hashlimit/SSH
20 ХХ.ХХ.ХХ.ХХ:0->0.0.0.0:0 117429000 230400000 115000000
Таким образом решены две проблемы:
— если пользователь вдруг опечатался, ему не нужно долго ждать новых попыток
— брутфорсеры сами себя загоняют в «вечный» бан.
