Cara, coloca o pf pra rodar e coloca essa regra junto.
tcp_services = "{80}"
table <bruteforce> persist
block log quick from <bruteforce>
pass inet proto tcp from any to $ext_if port $tcp_services flags S/SA
synproxy state (max-src-conn 100, max-src-conn-rate 15/5, overload
<bruteforce> flush global)
Depois vc verifica com o comando "pfctl -t bruteforce -R sh" pra ver se
tem alguma coisa na tabela de bloqueados.
Para verificar o que o firewall esta bloqueando e logando roda o comando
"tcpdump -e -n -ttt -i pflog0"
Depois manda noticias ai.
Abraço.
_________________________________________
* *Jorge Petry Neto *
*Administrador de Redes e Servidores
(48) 8401-4436
[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>*
**www.jspnet.com.br * <http://www.jspnet.com.br/>
Augusto Ferronato escreveu:
> Tem como Snort + PF ??
>
> Já vi Snort + IPTABLES e foi ralado pra configurar!
>
> Abs[]
>
> 2008/6/30 Gilliatt Borges Bastos [ Atrium SP Consultores ] <
> [EMAIL PROTECTED]>:
>
>
>> Antonio Carlos,
>>
>> Eu acho a melhor opção nesses casos é utilizar um IDS, como o Snort, para
>> identificar e criar uma regra dinâmica no seu firewall bloqueando o
>> atacante.
>>
>> Gilliatt Borges Bastos
>> Atrium São Paulo Consultores
>> www.atriumsp.com.br
>> Fone: 55 11 3049-1175
>> skype: gilliattbastos
>> Msn: [EMAIL PROTECTED]
>>
>> P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o
>> comprometimento com os Custos
>>
>> As informações existentes nessa mensagem e nos arquivos anexados são para
>> uso restrito, sendo seu sigilo protegido por lei. Caso não seja
>> destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor
>> apagar as informações e notificar o remetente. O uso impróprio será tratado
>> conforme as normas da empresa e a legislação em vigor.
>>
>> The information contained in this message and in the attached files are
>> restricted, and its confidentiality protected by law. In case you are not
>> the addressee, be aware that the reading, spreading and copy of this
>> message
>> is unauthorized. Please, delete this message and notify the sender. The
>> improper use of this information will be treated according the company's
>> internal rules and legal laws.
>>
>>
>>> -----Mensagem original-----
>>> De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em
>>>
>> nome
>>
>>> de Jorge Petry
>>> Enviada em: segunda-feira, 30 de junho de 2008 11:16
>>> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>>> Assunto: Re: [FUG-BR] apache
>>>
>>> qual firewall vc usa???
>>> Antonio Carlos da Rocha Jr escreveu:
>>>
>>> Bom dia lista, tudo bem colegas, estou tendo problema com ataques no
>>> apache, quase todo dia estou sofrendo ataques no servidor web da
>>> empresa, gostaria de saber se tem algum jeito de bloquear o ip do
>>> atacante ... algo que depois de 5 requisicoes ele bloqueace o ip por
>>> uma 30 hora ...
>>>
>>>
>>> Antono Carlos
>>>
>>> -------------------------
>>> Histórico: [1]http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>> --
>>>
>>> _________________________________________
>>> Jorge Petry Neto
>>> Administrador de Redes e Servidores
>>> (48) 8401-4436
>>> [EMAIL PROTECTED]
>>> [4]www.jspnet.com.br
>>>
>>> References
>>>
>>> 1. http://www.fug.com.br/historico/html/freebsd/
>>> 2. https://www.fug.com.br/mailman/listinfo/freebsd
>>> 3. mailto:[EMAIL PROTECTED]
>>> 4. http://www.jspnet.com.br/
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>
>
>
>
--
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
