[CentOS] firewalld een file laten inlezen met IP to block

dinsdag 12 maart 2019 10:59

Acties:

0 Henk 'm!

Certified Prutser

Topicstarter

Ik probeer op een CentOS (7.4) server middels firewalld een file te laten inlezen (evt. via cron) die IP adressen bevat die geblokkeerd moeten worden van alle services op die machine.

Maar wat Google-fu betreft, kom ik nergens op uit. Is het überhaupt wel mogelijk om dat te doen? Of moet ik naar een script gaan uitkijken die dat combineert tot een commando?

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 12 maart 2019 11:22

Hero of Time

Moderator LNX

There is only one Legend

Je zal sowieso naar een script moeten gaan als het een apart bestand is. Anders heb je het namelijk over statische regels en dat is veel makkelijker te regelen.

Is er een specifieke reden voor het blokkeren van IP adressen? Bijvoorbeeld bekende hack adressen oid? Ik zou dan namelijk eerder naar iets als fail2ban kijken (die ook firewalld ondersteuning heeft als ik de omschrijving mag geloven), om zo meerdere aanvalsbronnen tegen te houden.

Commandline FTW | Tweakt met mate

dinsdag 12 maart 2019 11:22

Acties:

Beste antwoord ✓
+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Je zal sowieso naar een script moeten gaan als het een apart bestand is. Anders heb je het namelijk over statische regels en dat is veel makkelijker te regelen.

Is er een specifieke reden voor het blokkeren van IP adressen? Bijvoorbeeld bekende hack adressen oid? Ik zou dan namelijk eerder naar iets als fail2ban kijken (die ook firewalld ondersteuning heeft als ik de omschrijving mag geloven), om zo meerdere aanvalsbronnen tegen te houden.

Commandline FTW | Tweakt met mate

dinsdag 12 maart 2019 11:27

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

We willen experimenteren om adressen die van een honeypot lijst afkomstig zijn server wide te blocken. ipv service based.

Fail2Ban heb ik in mijn optielijstje staan, maar als er een user is die met dikke vingers zit dan zal die ook geblockt worden. Geen idee nog of f2b daar rekening mee houdt en of die (door niet technici) makkelijk unblocked kan worden.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 12 maart 2019 11:31

Acties:

0 Henk 'm!

DiedX

Dat kan je zelf instellen he? F2B heeft echt wel redelijke regels voor het blokkeren en deblokkeren van IP-reeksen.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 12 maart 2019 11:31

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Fail2ban heeft ook gewoon een CLI. Maak een jail aan met specifieke regels en je gooit er zo een IP adres in. Kan je zo geautomatiseerd vanuit je honeypot voeren. Staat er een IP in dat er eigenlijk niet in hoort, kan je 't er ook zo uit halen.

Als je denkt dat het te technisch wordt voor mensen, dan bouw je er een script omheen. Roep je 't gewoon aan met 'unban $IP' en klaar.

Commandline FTW | Tweakt met mate

dinsdag 12 maart 2019 11:32

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

Top, ga ik me verder verdiepen in f2b. Thanks!

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

Vraag

Beste antwoord (via RoRoo op 12-03-2019 11:32)

Alle reacties