<div>Por ahi encontre este para de lineas q podrian ser de mucha ayuda para tu problema, suerte.</div>
<div>&nbsp;</div>
<div>iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 45 -j DROP<br>iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT<br><br>&nbsp;</div>
<div><span class="gmail_quote">2006/11/29, Miguel Peña G &lt;<a href="mailto:mpena@linuxhelp.cl">mpena@linuxhelp.cl</a>&gt;:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">por los tiempo entre consultas no creo ..<br><br>pero ya que la duda asalta ...<br><br>mas que actualizado el shorewall tenga actualizado sus paquetes criticos
<br>en este&nbsp;&nbsp;caso el openssh , y aunque suene obvio ..<br><br>no use su ssh en el puerto standard&nbsp;&nbsp;ni menos permita al root hacer<br>shell remota en forma directa.<br><br><br><br><br>El mié, 29-11-2006 a las 11:51 -0300, Roberto Leiva M. (Lista) escribió:
<br>&gt; Tengo un firewall Centos 4.4 al dia con shorewall.<br>&gt;<br>&gt; En el log se aprecian las sgtes lineas:<br>&gt;<br>&gt; Nov 29 11:37:49 gw sshd(pam_unix)[11215]: authentication failure; logname= uid=0 euid=0 tty=ssh
<br>&gt; ruser= rhost=<a href="http://66.192.113.8">66.192.113.8</a>&nbsp;&nbsp;user=root<br>&gt; Nov 29 11:37:52 gw sshd(pam_unix)[11217]: authentication failure; logname= uid=0 euid=0 tty=ssh<br>&gt; ruser= rhost=<a href="http://66.192.113.8">
66.192.113.8</a>&nbsp;&nbsp;user=root<br>&gt; Nov 29 11:37:56 gw sshd(pam_unix)[11219]: authentication failure; logname= uid=0 euid=0 tty=ssh<br>&gt; ruser= rhost=<a href="http://66.192.113.8">66.192.113.8</a>&nbsp;&nbsp;user=root<br>&gt; Nov 29 11:38:00 gw sshd(pam_unix)[11221]: authentication failure; logname= uid=0 euid=0 tty=ssh
<br>&gt; ruser= rhost=<a href="http://66.192.113.8">66.192.113.8</a>&nbsp;&nbsp;user=root<br>&gt; [...] se repiten constantemente<br>&gt;<br>&gt; sera un ataque de fuerza bruta ?? que se puede hacer ??<br>&gt;<br>&gt; datos:<br>&gt; [@gw ~]# traceroute 
<a href="http://66.192.113.8">66.192.113.8</a><br>&gt; traceroute to <a href="http://66.192.113.8">66.192.113.8</a> (<a href="http://66.192.113.8">66.192.113.8</a>), 30 hops max, 38 byte packets<br>&gt;&nbsp;&nbsp; 1&nbsp;&nbsp;<a href="http://200.75.24.65">
200.75.24.65</a> (<a href="http://200.75.24.65">200.75.24.65</a>)&nbsp;&nbsp;0.523 ms&nbsp;&nbsp;0.810 ms&nbsp;&nbsp;0.334 ms<br>&gt;&nbsp;&nbsp; 2&nbsp;&nbsp;<a href="http://200.55.210.62">200.55.210.62</a> (<a href="http://200.55.210.62">200.55.210.62</a>)&nbsp;&nbsp;0.579 ms&nbsp;&nbsp;0.558
 ms&nbsp;&nbsp;0.531 ms<br>&gt;&nbsp;&nbsp; 3&nbsp;&nbsp;<a href="http://CORE-INT-1.gtdinternet.com">CORE-INT-1.gtdinternet.com</a> (<a href="http://200.75.0.66">200.75.0.66</a>)&nbsp;&nbsp;0.649 ms&nbsp;&nbsp;0.671 ms&nbsp;&nbsp;0.596 ms<br>&gt;&nbsp;&nbsp; 4&nbsp;&nbsp;<a href="http://CORE-INT-2.gtdinternet.com">
CORE-INT-2.gtdinternet.com</a> (<a href="http://201.238.238.26">201.238.238.26</a>)&nbsp;&nbsp;0.959 ms&nbsp;&nbsp;0.850 ms&nbsp;&nbsp;0.806 ms<br>&gt;&nbsp;&nbsp; 5&nbsp;&nbsp;<a href="http://san1-gtd-1-cl.san.seabone.net">san1-gtd-1-cl.san.seabone.net</a> (<a href="http://195.22.221.89">
195.22.221.89</a>)&nbsp;&nbsp;109.892 ms&nbsp;&nbsp;109.477 ms&nbsp;&nbsp;109.273 ms<br>&gt;&nbsp;&nbsp; 6&nbsp;&nbsp;<a href="http://ash1-new1-racc1.new.seabone.net">ash1-new1-racc1.new.seabone.net</a> (<a href="http://195.22.216.225">195.22.216.225</a>)&nbsp;&nbsp;153.307 ms&nbsp;&nbsp;153.378
 ms&nbsp;&nbsp;153.707 ms<br>&gt;&nbsp;&nbsp; 7&nbsp;&nbsp;* * *<br>&gt;&nbsp;&nbsp; 8&nbsp;&nbsp;<a href="http://core-02-ge-0-3-0-1.asbn.twtelecom.net">core-02-ge-0-3-0-1.asbn.twtelecom.net</a> (<a href="http://64.129.249.17">64.129.249.17</a>)&nbsp;&nbsp;146.813 ms&nbsp;&nbsp;147.995 ms&nbsp;&nbsp;
147.139 ms<br>&gt;&nbsp;&nbsp; 9&nbsp;&nbsp;<a href="http://dist-02-so-0-0-0-0.roch.twtelecom.net">dist-02-so-0-0-0-0.roch.twtelecom.net</a> (<a href="http://66.192.240.8">66.192.240.8</a>)&nbsp;&nbsp;197.103 ms&nbsp;&nbsp;158.303 ms&nbsp;&nbsp;153.267 ms<br>&gt; 10&nbsp;&nbsp;<a href="http://hagg-02-ge-3-3-0-504.roch.twtelecom.net">
hagg-02-ge-3-3-0-504.roch.twtelecom.net</a> (<a href="http://66.192.240.155">66.192.240.155</a>)&nbsp;&nbsp;152.857 ms&nbsp;&nbsp;167.992 ms&nbsp;&nbsp;159.473 ms<br>&gt; 11&nbsp;&nbsp;<a href="http://207.250.127.10">207.250.127.10</a> (<a href="http://207.250.127.10">
207.250.127.10</a>)&nbsp;&nbsp;242.489 ms&nbsp;&nbsp;213.470 ms&nbsp;&nbsp;270.765 ms<br>&gt; 12&nbsp;&nbsp;<a href="http://mail.rochesterymca.org">mail.rochesterymca.org</a> (<a href="http://66.192.113.8">66.192.113.8</a>)&nbsp;&nbsp;241.597 ms&nbsp;&nbsp;282.269 ms&nbsp;&nbsp;192.596 ms<br>
&gt;<br>&gt;<br>&gt; atte.<br>&gt; --<br>&gt; Roberto Leiva M.<br>&gt; Santiago - Chile<br><br></blockquote></div><br><br clear="all"><br>-- <br>Orlando Sojo.<br>orlandosojo[at]gmail[dot]com<br>User Linux Registered 344807.