От DDOS создал правило в файрфоле, отправляющее в reject (icmp network unreacheble) все пинги на внешний IP адрес. Так правильно? Может лучше по другому или лучше вообще drop вместо reject?
По поводу брутфорса ssh нарыл статейку со скриптом:
Для SSH – разрешаем перебор не более 1 минуты с последующей блокировкой на 3 часа ( 3 h, 3 дня – 3d ) по желанию:Код: Выделить всё
ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=”drop ssh brute forcers” disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=”" disabled=no
Так будет правильно? Будет ли такой вариант нормально защитой?