2014-03-01 150 views
2

下將下降,其包含指定的字符串包:其匹配規則阻止IP地址

的iptables -I FORWARD -j DROP -p tcp的-s 0.0.0.0/0 -m串--string「therichsheickc @ yahoo.com「

該字符串是僵屍網絡垃圾郵件發送者使用的字符串(從1000年的1000個IP地址開始)使用我的電子郵件服務器。這條規則有些有效,但不會阻止連接。我希望它能夠在比賽結束後丟棄IP。我可以在iptables中做到這一點,而無需去用戶空間?

+1

如何使用工具作爲fail2ban? –

+0

fail2ban可以工作,但它是用戶空間。 – onelesd

回答

2

這個特殊的掃描儀總是迎接EHLO 192.168.2.33。使用這些規則,以阻止他們:

iptables -t raw -A PREROUTING -i eth+ -p tcp --dport 25 -m string --string "192.168.2.33" --algo bm -m recent --set --name SBOT 
iptables -I INPUT -i eth+ -p tcp --dport 25 -m recent --rcheck --name SBOT -j REJECT --reject-with tcp-reset 

也許這將幫助:

的iptables -A FORWARD -m串--algo BM --string 「[email protected]」 -j DROP