利用iptables防止ssh暴力破解和控制网速

2013-08-2 from—https://www.server110.com/linux/201308/736.html

防 ssh 暴力破解
一直以来，面对 Vim 显示的 auth.log 里满屏的红色 ssh 登录失败记录，要么容忍，要么换端口号，要么是 fail2ban。换端口号显然会造成很多不便，尤其是使用者比较多的时候。fail2ban 以前也用得挺好的，但是需要手工编辑配置文件，阅读其中长长的注释并且小心翼翼地修改参数。配置好之后还会经常收到 fail2ban 发出的邮件。这些都可以忍受。直到有一天，某位使用者不小心登录失败多次以后，那个 IP 被封掉了。我从 /etc/hosts.deny 中删除了对应的项目，但是没有用，因为 fail2ban 会去检查 auth.log，然后把那个 IP 给加回去……
前两天本来是寻找限速的命令的，却无意之中看到了防 ssh 暴力破解的命令，如下：
iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set
iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 -j DROP
第一句是说，对于外来数据，如果是 TCP 协议，目标端口号是 22，网络接口是 eth0，状态是新连接，那么把它加到最近列表中。第二句是说，对于这样的连接，如果在最近列表中，并且在 60 秒内达到或者超过四次，那么丢弃该数据。其中的-m是模块的意思。
也就是说，如果有人从一个 IP 一分钟内连接尝试四次 ssh 登录的话，那么它就会被加入黑名单，后续连接将会被丢弃。这是对付 ssh 暴力破解的绝佳规则了。不用修改 openssh，也不用另启一个容易招麻烦的服务。不过不知道多久以后那个 IP 才能重新连接上。
我实际使用时正有一北京 IP 在尝试 ssh 登录。命令执行后，auth.log 里的红色失败消息又出现了四次，然后就没有了。后来再查看时，虽然还是能看到不少红色，但是没有以前那么密集了。更重要的是，每四条登录失败消息间的时间间隔比较大了。可谓效果显著啊。

网络限速
这是我这次搜索 iptables 相关信息的本意。起因是这样子的，在本地测试的时候，经常会发现本地连接的速度实在是太快了。对于网站，不能反映其真实的使用体验；对于网络程序，无法测试其在网络不良时的表现，由于测试的规模小，一些真实使用时容易出现的竞态也由于操作完成得太快而无法重现。
很早就知道 iptables 能够对转发流量进行限速。既然是 iptables 而不是某些商业软件，它就没理由只能对外部流量而不对本地接口 lo 进行限速。于是最后弄到如下命令：
iptables -A INPUT -s 127.0.0.1 -p tcp -d 127.0.0.1 –dport 6900:6901 -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp -d 127.0.0.1 –dport 6900:6901 -j DROP
这两条规则组合起来是说，对于所有从 127.0.0.1 到同样的地址的 6900 到 6901 端口的 TCP 连接，每秒只接受一个数据包，多余的丢弃。后边那句是必要的，如果不写的话就没作用了，因为默认策略是接受。
要注意的是，如果使用域名localhost的话，很可能会使用 IPv6 地址::1而不是127.0.0.1了。