Guten morgen,
ich habe auf einem internen Server einen Port für SSH Logins eingerichtet!.
Da finden täglich SSH/FAILED Logins statt!
Diese filterte ich mir in eine Datei und fügte diese der Floating Rules hinzu.
journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"Die Logins befinden sich auf dem PORT 2222.
Netzwerkaufbau
WAN= Öffentliche IP "STATISCH"
LAN = 192.168.50.0/24
Intern = SSH-LOGINSERVER "Port 2222"
Intern = Webserver "port80,443"
Die internen Server werden über NAT erreicht!
Ich dachte, wenn ich mit dem Befehl journalctl _SYSTEMD_UNIT=ssh.service | egrep "Failed|Failure"die Logins auslesen, betrifft das nur den Port 2222!
Aber jetzt geht auch der Interne Webswerver nicht mehr.? Das verstehe ich nicht so richtig?!
Gibt es eine Möglichkeit, die IPs und den Port 2222 und nur diesen für "alle BAD-IPADRESSEN" zu blocken?
also eine Rule, blocke alle IPADRESSEN nur auf Port 2222, die in den Failed|Failure enthalten sind?
Oder ich müsste dann jede einzelne IP eintragen und Testen, ob der Webserver noch ereichbar ist. Das ist ja eine Unmenge an Arbeit.
Die Blockregel klappt auch soweit, die Datei dazu habe ich auf einem internen Webserver abgelegt und per URL_TABLLE IP eingebunden.
danke und ein schönes wochenende!
Wenn du bei der Blockregel den Destination Port auf 2222 stellst, sollte das doch genau das tun, was du willst.
danke, das habe ich echt übersehen!
schönes wochenende!
liebe grüsse
Guten morgen,
wollte mich nochmal bedanken, das hat geklappt!
lg