Firewall-Regeln gegen Spam & Bruteforce
2021-09-04, 08:33:26
Es nervt immer, dass maillog zu voll gemüllt zu sehen mit Anmeldungsversuchen, die nur ein Ziel haben: Identitätsdiebstahl für Spamming und anderen Shit, den kein Mensch braucht.
Hier mal ein paar Rules für iptables, um die Barriere für Spammer und Scriptkiddies höher zu setzen:
-A INPUT -s 87.246.7.0/24 -j DROP
-A INPUT -s 103.151.122.0/24 -j DROP
-A INPUT -s 103.151.123.0/24 -j DROP
-A INPUT -s 103.151.149.0/24 -j DROP
-A INPUT -s 192.64.236.0/22 -j DROP
-A INPUT -s 212.70.149.0/24 -j DROP
-A INPUT -s 45.133.1.0/24 -j DROP
-A INPUT -s 78.128.113.0/24 -j DROP
-A INPUT -s 77.40.2.0/23 -j DROP
-A INPUT -s 5.188.206.0/24 -j DROP
-A INPUT -s 45.144.225.0/24 -j DROP
-A INPUT -s 45.133.1.0/24 -j DROP
-A INPUT -s 37.0.8.0/24 -j DROP
-A INPUT -s 31.210.21.0/24 -j DROP
-A INPUT -s 212.192.241.0/24 -j DROP
-A INPUT -s 2.56.56.0/22 -j DROP
-A INPUT -s 195.133.40.0/24 -j DROP
-A INPUT -s 188.162.192.0/21 -j DROP
-A INPUT -s 136.144.41.0/24 -j DROP
-A INPUT -s 167.114.88.80/28 -j DROP
-A INPUT -s 37.0.10.0/24 -j DROP
-A INPUT -s 31.210.20.0/24 -j DROP
-A INPUT -s 212.192.241.0/24 -j DROP
-A INPUT -s 136.144.41.0/24 -j DROP
-A INPUT -s 37.0.11.0/24 -j DROP
-A INPUT -s 188.162.32.0/19 -j DROP
-A INPUT -s 5.188.206.0/24 -j DROP
-A INPUT -s 95.130.124.0/22 -j DROP
-A INPUT -s 103.207.36.0/22 -j DROP
-A INPUT -s 37.98.160.0/19 -j DROP
-A INPUT -s 77.247.110.0/24 -j DROP
-A INPUT -s 193.56.29.0/24 -j DROP
Die Bereiche sind anhand dieser Commands herausgefunden worden:
grep -A1 "failed mail authentication attempt for user" /var/log/maillog |grep "authentication fail" | perl -pe 's#.*unknown\[([^\]].*?)\].*#\1#' |uniq
whois ...
Die Bereich stammen aus Russland, Vietnam und sehr viel kommt auch aus den Niederlanden.