CentOS 7 Firewalld で特定のIPアドレスの接続を拒否する

【 Linux の　ログ格納場所一覧　と SSH アクセスログをみる 】で、ログ解析をしたら、この1日で、１６，０００回以上、SSHでアクセスしてパスワードの失敗を繰り返している。特定のIPアドレスからで、これを書いている今も接続をしにきている。　見逃せない。　IPアドレスをブロックすることにする。Quickにrejectする。
　

---

◇ウファイアウォールが起動中かどうかを確認
# firewall-cmd --state
running
◇ファイアウォール設定を確認
# firewall-cmd --list-all

(結果)
[root@localhost ~]# firewall-cmd --list-all


public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: ssh dhcpv6-client http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

◇firewalldに、特定のIPアドレスを拒否する設定を追加する
♯firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='122.194.229.48' reject"
success


悪者は？　　== whois IP lookup ==
inetnum:        122.192.0.0 - 122.195.255.255
netname:        UNICOM-JS
descr:          China Unicom Jiangsu province network <- 中国からだ！！
descr:          China Unicom

◇設定を反映するために以下のリロード命令
# firewall-cmd --reload
success

◇ファイアウォール設定を確認
# firewall-cmd --list-all

(結果)
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: ssh dhcpv6-client http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="122.194.229.48" reject

設定が反映されたことが確認できました。

** 1日経過して、ログを再確認してみます。**

どこか別のところに目標を変えて、諦めてくれてるといいけど。。。

◆　昨日分の集計：

[root@　log]# grep 'Failed password' /var/log/secure | grep 'Dec 18' | cut -d ' ' -f 9 | sort -n | uniq -c | sort -nr
  13,989 root
    112 invalid
      1 sshd

◆　本日分の集計：
[root@　log]# grep 'Failed password' /var/log/secure | grep 'Dec 19' | cut -d ' ' -f 9 | sort -n | uniq -c | sort -nr
  25,753 root
    492 invalid
      9 mysql
      2 apache
      1 nobody

増えてる！！

どこからでしょう？

◆　昨日分の集計：
[root@　log]# grep 'Failed password' /var/log/secure | grep 'Dec 18' | cut -d ' ' -f 11 | sort -n | uniq -c | sort -nr
  10,454 122.194.229.48　　<- 昨日の悪者
   2448 58.242.83.9
    996 218.92.1.151
     31 61.188.189.7
     30 183.196.218.186
      6 94.50.158.73
      6 114.225.67.138
      6 112.154.249.122
      6 106.215.87.44
      5 user
      5 139.59.146.113
      3 ubuntu
      3 pi
      3 debian
      2 ubnt
      2 support
      2 nfsnobod
      2 git
      2 cirros

◆　本日分の集計：
[root@　log]# grep 'Failed password' /var/log/secure | grep 'Dec 19' | cut -d ' ' -f 11 | sort -n | uniq -c | sort -nr
  18,516 58.242.83.9　   < - 昨日の２位が、1位に！！
   5,548 218.92.1.151　  < - 昨日の３位が、２位に！！
   1,516 122.194.229.48 < - 昨日の排除した悪者
     79 admin
     53 123.150.103.186
     42 220.191.194.22
     40 43.225.180.10
     29 177.113.116.106
     27 211.181.197.181
     22 test
     16 pi
     16 oracle
     16 ftpuser
     14 git
     13 postgres
     10 user
      9 guest
      8 usuario
      8 ubnt
      8 butter
      7 209.141.53.94
      7 205.185.120.192
      6 78.186.8.194
      5 www
      5 support
      4 system
      4 nagios
      4 hadoop
      4 debian
      4 167.114.235.137
      3 zabbix
      3 weblogic
      3 vagrant
      3 prueba
      3 info
      3 demo
      3 backup
      3 58.187.24.200
      3 167.114.234.173
      2 webadmin
      2 ubuntu
      2 teste
      2 test2
      2 test1
      2 teamspeak3
      2 svn
      2 sir
      2 server
      2 sam
      2 RPM
      2 public
      2 phion
      2 n0cshell
      2 manager
      2 kevin
      2 ghost
      2 ftp1
      2 flw
      2 f
      2 EVO
      2 ethos
      2 deploy
      2 david
      2 CMR
      2 cirros
      2 centos
      2 andre
      2 administrator
      2 administrador
      2 aaa
      2 a

一応、who is IP で、今日の1位と2位をlookupしてみます。
本日１番の悪者は？
== whois IP lookup 58.242.83.9　==
inetnum: 58.242.81.0 - 58.242.86.255
netname: HUAIBEIBASIP
country: CN
descr: ANHUI UNICOM
admin-c: CH445-AP 　　

また、中国ですね。

本日２番の悪者は？
== whois IP lookup 　218.92.1.151　　==
inetnum:        218.90.0.0 - 218.94.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN

また、これも中国ですね。

同じ、グループ（人物）？　でしょうか？

rejectしておきます。