2 วันนี้มีคนพยายามซุ่มเข้ามาทาง ftp ตลอดวัน ยิงมาจากหลายๆ IP มาเป็นชุดๆ มีหลายๆชื่อซุ่มเข้ามาถูก และในหลายชื่อนั้น ลูกค้าตั้งรหัสผ่านง่ายๆ

ลองมาอ่าน howto จากกระทู้ของคุณ icez พอดีเครื่องผมเป็น freebsd ซึ่งคุณ icez ไม่ถนัด ipfw ผมก็เลยไปหาอ่านๆดูไปเจออันนี้เข้า [URL=“http://www.the-art-of-web.com/system/block-ftp-hacking/”]ลิมิต FTP เขาบอกให้เอา

<Limit LOGIN> [I]

single ip address example[/I]

Allow from 192.168.0.1
[I]

multiple ip addresses example[/I]

Allow from 192.168.0.1 10.30.124.6 [I]

subnet example[/I]

Allow from 192.168.0.0/16
*** ผมเอา IP ไทยมาใส่ไว้ ***[I]

hostname example[/I]

Allow from example.net

DenyAll
</Limit>

ไปใส่ไว้ที่ /etc/proftpd/proftpd.conf

ผมลองทำตามดูครับ เหมือนจะได้ผลครับ IP ต่างประเทศที่ซุ่มเข้ามาหายไป แต่ไม่รู้จะถาวรแค่ไหน หรือเขาหยุดซุ่มพอดีเลยหายไป

IP ประเทศไทยของคุณ icez เอามาจาก http://software77.net มีประมาณ 337 บรรทัด (เป็น CIDR)
แต่ผมไปค้นได้ที่นี้มา http://www.ip2location.com/free/visitor-blocker มีมากกว่าครับ แต่ตรงกันมากน้อยไม่ทราบเหมือนกัน

เลยมาสอบถามทุกท่านดูครับ ทำแบบนี้ ดี เสียประการใดครับ

ทำแบบนี้ ftp ก็จะ deny ip ต่างประเทศไปครับ ลักษณะนี้ก็เหมือนกับการ deny ip ผ่าน .htaccess ของ apache

ข้อเสียก็คือยังมีการ connect เข้ามาได้ แต่ตัว service จะปฏิเสธไม่ให้ login สู้ block ตั้งแต่ firewall เลยไม่ได้

สำหรับ ipfw ก็ใช้ rule ตามนี้
ipfw add 9999 deny all from 123.123.123.123 to any dst-port 21

ขอบคุณครับ ขอเก็บไว้ศึกษากับทดลองก่อนน่ะครับ ipfw เนี่ย

ลง fail2ban แล้วเปิด module ftp-iptables ครับ
แล้วก็ตั้งถ้าใส่พาสผิดห้าครั้งแบนไปซะวันนึงอะไรงี้ก็ได้ครับ

ลองตั้งท่าจะทำแล้วละครับ พอดีเห็นความต้องการของโปรแกรมแล้วต้อง ลงเพิ่มอีกหลายอย่าง เลยต้องเบรคไว้ก่อนครับ
กลัวเดี้ยง 555

fail2ban มันใช้บน linux ครับ เครื่องนี้เป็น freebsd

เห็นมีอยู่น่ะครับคุณแมน แต่ผมไม่แน่ใจเรื่อง version ครับ http://www.freebsd.org/cgi/ports.cgi?query=fail2ban&stype=all

ผลสรุปว่าวิธีนี้ไม่ work ครับ load พุ่งขึ้นอย่างมาก
คงต้องมานั่งศึกษา ipfw อย่างมากละทีนี้

migrate มา linux ดีกว่าฮะ