Automatizando pfctl para bloquear conexiones entrantes e IPs

0

Obtengo mucho tráfico no deseado de las direcciones IP de China. Estoy usando una Mac antigua con OS X 10.7.5 (mi Mac es antigua, por lo que no puedo actualizar más), así que imagino que es más vulnerable de lo que sería una Mac más nueva.

Esta página proporcionó un excelente tutorial sobre cómo usar pfctl para detectar "atacantes" sshd que violan ciertas reglas y agregarlas a una lista negra. En mi ingenua comprensión, esto se aplica solo a las conexiones sshd .

¿Cómo puedo generalizar ese tutorial para bloquear otros tipos de tráfico también? En particular, tengo tráfico no deseado que involucra sshd , sshd-keygen-wrapper y screensharingd , aunque Me encanta bloquear el tráfico de cualquier que tenga demasiadas conexiones simultáneas o demasiados intentos dentro de un período de tiempo determinado.

    
pregunta jvriesem 25.01.2017 - 20:47

1 respuesta

1

Puedes simplemente reemplazar:

table <attackers> persist
block log quick from <attackers>
pass in quick proto tcp from any port ssh flags S/SA keep state (max-src-conn 3, max-src-conn-rate 5/60, overload <attackers> flush global)

con:

table <attackers> persist
block log quick from <attackers>
pass in quick proto tcp from any flags S/SA keep state (max-src-conn 3, max-src-conn-rate 5/60,  overload <attackers> flush global)

Si desea restringir esto a puertos únicos, use: ... port {22, 443, 5900:5902} ... en lugar de ... port ssh ... .

    
respondido por el klanomath 25.01.2017 - 22:35

Lea otras preguntas en las etiquetas