iptable 설정을 했다가..ㅠ.ㅠ

뭐 이런걸 글로 올렸다가 피해를 보셔서 무진장 죄송합니다 ^^;

빼먹은게 있었네요.

아래 내용을 그대로 쓰면 당연히 안될건데.. 잠결에 쓰다보니 어의없는 실수를. 엥..

ssh 연결 시도 1회에 발생하는 패킷이 대략 0.5초 이내에 암호 입력 단계까지 8번 이상의 22번포트로의 tcp 패킷을 발송합니다. 헐~

당연히 아래 설정은 30초 이내에 5번 패킷 까지 차단해 버리니 기본 ID 인증 단계도 못가고 차단되는거죠. 에구.. 어이없는 설정을 해버렸습니다. ㅠ.ㅠ

우선 삭제는 iptables -D INPUT -p tcp --dport 22 -m limit --limit 30/s --limit-burst 5 -j DROP

요로코롬 -D를 사용하시면 되구요.

기본 정책이 ACCEPT 인경우. 기본 정책을 DROP으로 바꾸시고.

ssh에 대한 허용 옵션을 삭제합니다.

허용옵션은 다음과 같이 적용합니다.

iptables -A INPUT -p tcp --dport 22 --syn -m limit --limit 10/s --limit-burst 1 -j ACCEPT

10초 이내에 1회 까지만 ssh 초기 접속 시도에 대해 허용합니다.

다음으로는

iptables -A INPUT -p tcp --dport 22 ! --syn -j ACCEPT

요로코롬 설정해서 syn 신호를 제외한 ssh 신호에 대해 모두 허용 하면 처음 접속 신호에 대해서만 10초 이내에 1회 접속 신호만 accept 하고 나머지 접속 요청 (--syn)에 대해서는 마지막 줄까지 내려가서 DROP을 만나고 죽게 되어있죠.

제한된 접속 시간 제한 이외에 접근을 하는 사람에 대해 로그를 남기고 싶다면 다음에

iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-level notice --log-prefix "[OverSSH]"

요로케 하면 messages log에 notice level로 로그를 남깁니다.

기본 정책이 DROP이 아닌 분은 로그 정책 이후에

iptables -A INPUT -p tcp --dport 22 --syn -j DROP

을 넣어주시면 됩니다.

죄송해서 하나하나 테스트 다 해보고 쓴거니 걱정 하지 마시고 사용하세요~~ ㅎ

이동훈 님의 글

iptables -A INPUT -p tcp --dport 22 -m limit --limit 30/s --limit-burst 5 -j DROP

ssh에 관련된걸 검색하다가..같은 ip로 5회 이상 들어오려는 시도를 하면 막는 스크립트..뭐 이런것이 있길래..복사/붙여 넣기 했더니..

ssh로 접속이 안되네요..ㅠ.ㅠ

어떻게 풀어야 하는지..궁금합니다...꼭 답변 좀 바라겠습니다.