我在基于 Linux 的路由器后面有一个 FreeBSD 系统(使用DD-WRT 固件)。FreeBSD 系统正在运行 sshd,并且会定期被各种 script-kiddies 探测。
它当前运行一个脚本,当看到同一 IP 地址登录尝试超过 3 次失败时,会完全阻止该地址。该阻止曾经是本地的(使用 FreeBSD 的ipfw),但我想通过要求路由器进行阻止来覆盖整个 LAN。这让我开始使用 Linux 的防火墙手段——iptables。
如果我使用:
iptables -I INPUT -s $IP -j DROP
那么路由器将拒绝尝试联系路由器本身的 IP,但会愉快地将连接转发到 LAN。
如果我使用
iptables -I FORWARD -s $IP -j DROP
它将阻止攻击者访问我的 LAN,但会保持路由器可访问他们。
是否有一些单一的规则——或者至少是单一的命令——我可以为每个攻击 IP 拦截任何进出它的流量?
谢谢你!