1 votes

ERJ avatar

sshdfilter et ipfw - pourquoi mes règles sont-elles vidées si souvent ?

Demandé el 6 de Novembre, 2011
Quand la question a-t-elle été
1034 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai configuré sshdfilter pour maintenir les règles ipfw lorsque quelqu'un essaie de se connecter à mon système sans y être invité. Cela a fonctionné pendant un certain temps. Depuis un certain temps - je commence à soupçonner la dernière mise à jour de Lion (10.7.2) - je vois sshdfilter ajouter des règles et, lorsque je vérifie, je ne vois pas les règles dans ipfw en utilisant 'ipfw show'. Lorsque je les ajoute manuellement, elles s'affichent, mais après un certain temps, elles disparaissent. Ce que j'ai trouvé dans /var/log/system.log sont des messages comme :

Nov  6 21:53:12 mac servermgrd[31448]: servermgr_ipfilter:ipfw config:Notice:Flushed IPv4 rules
Nov  6 21:53:12 mac servermgrd[31448]: servermgr_ipfilter:ipfw config:Notice:Flushed IPv6 rules

et je suppose qu'après une telle chasse d'eau, mes règles sont au paradis des bits. Comment puis-je éviter que mes blocs soient vidés ? Ma configuration ressemble beaucoup à Améliorations de sshdfilter

edit : En attendant, j'ai modifié sshdfilterrc pour ajouter les règles à /etc/ipfilter/ipfw.conf. Ce fichier est importé lorsque le flush est exécuté. L'inconvénient est que ce fichier doit être maintenu.....

Demandé el 6 de Novembre, 2011 par ERJ

Réponse

Trop de publicités?

1voto

ERJ avatar
ERJ Points 907

Modifiez /etc/sshdfilterrc pour ajouter les règles à /etc/ipfilter/ipfw.conf. Ce fichier est importé lorsque le flush est exécuté. L'inconvénient est que ce fichier doit être maintenu.....

Cela permet d'éviter que les blocs restent dans le bit heaven au moment de la purge, car ce fichier est lu après l'exécution de la purge.

edit : sur demande, j'ai ajouté les changements que j'ai fait dans /etc/sshdfilterrc

firewalladd='/sbin/ipfw add $idx deny all from $ip to any in; echo add $idx deny all from $ip to any in >> /etc/ipfilter/ipfw.conf;echo +`date` $ip >>/etc/ipfilter/sshdfilter_block.log'
firewalldel='/sbin/ipfw del $idx deny all from $ip to any in;grep -v " $ip ">/tmp/ipfw.conf;mv /tmp/ipfw.conf /etc/ipfilter/ipfw.conf;echo -`date` $ip >>/etc/ipfilter/sshdfilter_block.log'

Cela prend en charge les actions de blocage et d'annulation du blocage, y compris le fichier block.log pour voir quand et depuis combien de temps une IP est bloquée.

Répondu el 15 de Novembre, 2011 par ERJ (907 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X