guten morgen,
ich habe eine frage, da ich seit tagen mit ssh login versuchen generft werde habe ich beschlossen, die Netze der Angreifer zu sperren. Ich habe also meine Firewal erweiteret sie sieht aktuell so aus.
Code
iptables -L INPUT
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports 2222
ACCEPT tcp -- anywhere anywhere tcpflags: ACK/ACK
ACCEPT all -- anywhere anywhere state ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT tcp -- anywhere anywhere tcp dpt:2222
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT udp -- anywhere anywhere udp dpts:9987:9990
ACCEPT tcp -- anywhere anywhere tcp dpt:30033
ACCEPT tcp -- anywhere anywhere tcp dpt:41144
ACCEPT udp -- localhost anywhere udp spts:tcpmux:65535
ACCEPT tcp -- localhost anywhere tcp spts:tcpmux:65535
ACCEPT tcp -- anywhere anywhere tcp dpt:25565
ACCEPT tcp -- anywhere anywhere tcp dpt:8123
DROP all -- 222.186.21.0/24 anywhere
DROP all -- 182.100.67.0/24 anywhere
DROP all -- 58.218.199.0/24 anywhere
DROP all -- 221.229.166.0/24 anywhere
DROP all -- 59.45.79.0/24 anywhere
DROP all -- 116.224.151.0/24 anywhere
DROP all -- 41.164.72.0/24 anywhere
DROP all -- 60.8.151.0/24 anywhere
DROP all -- 193.107.16.0/24 anywhere
DROP all -- 69.70.6.0/24 anywhere
Display More
Allerdings sehe ich im Logfile von fail2ban immer wieder einträge wie den folgenden.
Code
2015-05-24 23:00:54,156 fail2ban.actions: WARNING [ssh] Ban 222.186.160.20
2015-05-25 09:38:58,480 fail2ban.actions: WARNING [ssh] Ban 112.74.80.113
kann mir jemand erklären wie dies möglich ist ? Sollte nicht schon die Firewall diese login versuche abfangen?
mfg LFS96