Bruteforce-Angriffe auf FTP mit PF verhindern

[Pik-9]

Hallo Leute,

ich bin gerade dabei, mir einen FTP-Server mit OpenBSD 5.0 aufzusetzen. Eigentlich läuft schon alles so weit, allerdings würde ich gerne Bruteforce-Attacken auf das Passwort vorbeugen. Jetzt habe ich im Internet und in einem Buch über OpenBSD gelesen, wie das gehen soll; nur leider funktionieren diese Tipps nicht so, wie ich mir das vorstelle...
Die Technik ist die, dass man eine Tabelle (eine Blacklist) mit "bösen" IPs anlegt und von dieser Tabelle die Verbindung blockiert. Wenn nun ein Host eine gewisse Grenze überschreitet, wird seine IP in diese Tabelle geschrieben. Nun wollte ich das mal testen und habe meinen eigenen Server mit ncrack angegriffen.

ncrack ftp://1.2.3.4

Leider funktionierte die Sicherung nicht; die IP meines Rechners ist nicht in die Blacklist gekommen!

Ich poste hier mal meine /etc/pf.conf:

device="xl0"

local_sub="192.168.2.0/8"

table <bruteforce> persist

block in all
pass out all
pass in on $device proto tcp from $local_sub to self port ssh

pass in on $device proto tcp from any to self port ftp
pass in on $device proto tcp from any to self port >1023

block in quick on $device proto tcp from <bruteforce> to self port 21
pass in on $device proto tcp from any to self port 21 \
keep state (max-src-conn 5, max-src-conn-rate 3/20, overload <bruteforce> flush global)

Kommt einer von euch vielleicht drauf, was ich übersehen habe?

PS: Ihr braucht mir nicht den root-und-keinen-Plan-Link zu schicken; den kenne ich schon und mein Server ist nur eine kleine Spielerei innerhalb meines Heimnetzes.

 

[Pik-9]

Okay,

ich bin selbst ein bisschen weiter gekommen. Die IP meines Rechners wurde doch gesperrt, nachdem ich mich ganz schnell hinter einander immer wieder an- und wieder abgemeldet habe, doch wie schaffe ich es, dass der FTP-Server die Verbindung nach jedem falschen Login ganz beendet?
Ich nutze den in der Standartinstallation integrierten FTP-Server-Daemon.
Hat einer von euch damit vielleicht Erfahrung?