Desculpe ...: ... longe de mim querer ir contra iniciativas de software livre, mas esse script, além de mal codificado, chora alto por um exploit.

spooker, vc se baseia somente no primeiro pacote de início de conexão TCP para adicioná-lo na sua blacklist quando alcança X pacotes na table INPUT em dada interface.

Com uma instância do nmap [ou qualquer outra ferramenta do tipo] em um loop infinito eu poderia forjar pacotes spoof suficiente para criar uma situação de negação de serviço, aonde seu firewall estaria sob comando de um atacante qualquer, criando regras que iriam bloquear conexões legítimas.

Além disso:

- seu script considera que o arquivo de output da facility kern.debug é /var/log/messages , o que tem muitas chances de não ser verdade ;

- o script que remove regras , que está no cron, não é sincrono com o script que adiciona regras, logo a premissa que o bloqueio funcionará por tempo X não é verdade ;

Desculpe, minha inteção é fazer papel de chato aqui, mas soltar um script que fornece esse poder de DoS dessa maneira precisava de um alerta.

ta desculpado! =): Bom,
Primeiramente legal pelo feedback, isso eh mto importante para tentarmos montarmos algo legal.
Fiz esse script BEM simples como voce falou, sendo que lancei justamente para ver se alguem com mais conhecimentos e ideias que eu ajudasse e montasse algo BEM util a comunidade. Isso eh apenas um comeco espero de algo que posso ser muito bem utilizado por todos.
Quanto a forjar ips, isso tudo esta vuneravel, mesmo os IPS que voce poderia muito bem enganar nao concorda?
Uma coisa que sei que poderia ja ter feito e falhei em nao lancar, foi uma ignore-list com alguns ips para nao serem "contados".
Voce questionou a questao de como pego os pacotes, confio nos logs do iptables, teria alguma sugestao para "pegar" os pacotes?
Relativo ao tempo concordo que o tempo nao eh exatamente, existe um margem de erros, mas isso tambem penso em mudar com ajudas.


[]z! Sp0oKeR!

dstlimit: This module allows you to limit the packet per second (pps) rate on a per destination IP or per destination port base. As opposed to the `limit' match, every destination ip / destination port has it's own limit.

Existe um módulo do iptables (man iptables) que faz exatamente isso, entre outras coisas.

Opa...: Hm...sinceramente nao conhecia esse modulo no POM...a algum tempo nao uso muito o POM. Mto legal! =)
Acho que "reinventei a roda", embora esse modulo tambem esteja sujeito a ter problemas com ip's forjados entre outros.
Vou dar uma analisada, embora meu script seja pratico e funcional sem aplicar patches no iptables (POM).
Anyway....a versao 0.1 ta ai, se alguem interessar.
Valeu mesmo!

[]z! Sp0oKeR!

So adicionando, esse modul: So adicionando, esse modulo esta no patch-o-matic obsolete repository, acho que nao estao trabalhando nele.

[]z! Sp0oKeR!

Mania de ler as coisas na pr: Mania de ler as coisas na pressa, ele foi "parado" pois agora no kernel 2.6 usar o hashlimit.
Desculpem de tantos coments seguidos, mas nao tenho como apagar e modificar os acima.

Valeu da dica chimpa.

Att,

Sp0oKeR

Mania de ler as coisas na pr: Mania de ler as coisas na pressa, ele foi "parado" pois agora no kernel 2.6 usar o hashlimit.
Desculpem de tantos coments seguidos, mas nao tenho como apagar e modificar os acima.

Valeu da dica chimpa.

Att,

Sp0oKeR

Faz um cadastro. É rapido :): Faz um cadastro. É rapido :)
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA