sshdfilter e ipfw, ¿por qué mis reglas se borran tan a menudo?

1

Tengo la configuración de sshdfilter para mantener las reglas de ipfw cuando alguien está invitadamente intentando iniciar sesión en mi sistema. Esto ha estado funcionando bastante tiempo. Desde hace un tiempo, comenzando a sospechar la última actualización de Lion (10.7.2), veo sshdfilter agregando reglas y, cuando verifico, no veo las reglas en ipfw usando 'ipfw show'. Cuando los agrego manualmente, se muestran, pero nuevamente, después de un tiempo se van. Lo que encontré en /var/log/system.log son mensajes como:

Nov  6 21:53:12 mac servermgrd[31448]: servermgr_ipfilter:ipfw config:Notice:Flushed IPv4 rules
Nov  6 21:53:12 mac servermgrd[31448]: servermgr_ipfilter:ipfw config:Notice:Flushed IPv6 rules

y asumo que después de semejante rubor, mis reglas están en el cielo. ¿Cómo puedo evitar que se vacíen mis bloques? Mi configuración parece muy familiar para mejoras de sshdfilter

editar: Mientras tanto, cambié sshdfilterrc para agregar las reglas a /etc/ipfilter/ipfw.conf. Este archivo se importa cuando se ejecuta la descarga. La desventaja es que este archivo debe mantenerse ...

    
pregunta ik_zelf 06.11.2011 - 22:34

1 respuesta

1

Cambie / etc / sshdfilterrc para agregar las reglas a /etc/ipfilter/ipfw.conf. Este archivo se importa cuando se ejecuta la descarga. La desventaja es que este archivo debe mantenerse ...

Esto evita que los bloques permanezcan en el cielo poco después de la descarga porque este archivo se lee después de que se ejecuta la descarga.

editar: a petición se agregaron los cambios que hice en / etc / sshdfilterrc

firewalladd='/sbin/ipfw add $idx deny all from $ip to any in; echo add $idx deny all from $ip to any in >> /etc/ipfilter/ipfw.conf;echo +'date' $ip >>/etc/ipfilter/sshdfilter_block.log'
firewalldel='/sbin/ipfw del $idx deny all from $ip to any in;grep -v " $ip ">/tmp/ipfw.conf;mv /tmp/ipfw.conf /etc/ipfilter/ipfw.conf;echo -'date' $ip >>/etc/ipfilter/sshdfilter_block.log'

esto se encarga del bloqueo y de las acciones de cancelación de bloque, incluyendo algunos block.log para ver cuándo y cuánto tiempo se ha bloqueado una ip.

    
respondido por el ik_zelf 15.11.2011 - 08:28

Lea otras preguntas en las etiquetas