Форум Сайтостроение Администрирование серверов

Кто как блокирует целые страны (Китай, например)?

1234 5
cloud-shield
На сайте с 25.01.2017
Offline
54
cloud-shield
#11

У сервисов защиты от атак обычно имеется возможность блокировать доступ странами, выбирая их списком.

Если осуществляете самостоятельную блокировку через iptables, то не лишним будет следить за актуальностью geoip базы, иначе могут быть ложные блокировки.

Защита сайтов от DDoS атак - Cloud-Shield.ru ( https://cloud-shield.ru )
LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#12
saanvi:
Да, там тоже ipset в связке с iptables. Видимо, лучшего решения не найти. Спасибо всем, посоны!

ipset обязателен, при блокировки большого списка IP, иначе сервер будет просто умирать, проверенно на своём сервере. 🚬

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/
baas
На сайте с 17.09.2012
Offline
161
baas
#13
saanvi:
Собственно, мне и нужен был готовый список. Собственно, я уже его и нашёл. Не думал, что это будет так просто. Финита ля. :)

А можно верить этим спискам под сетей стран?

---------- Добавлено 18.11.2019 в 19:01 ----------

LEOnidUKG:
Да обычно на фаерволе просто прописывается страна и всё. Например CN и идёт блокировка всех стран. А руками искать эти списки, потом они ещё обновляются, это запариться можно.

А это как прописать к примеру в iptables/ipfw?

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
M
На сайте с 17.09.2016
Offline
124
Mobiaaa
#14

baas, Для этого нужен модуль geoip для iptbles

LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
#15
baas:

А это как прописать к примеру в iptables/ipfw?

Я там ссылку давал, как всё это настраивается. И да модуль Geoip нужен.

saanvi
На сайте с 01.04.2015
Offline
108
saanvi
#16
baas:
А можно верить этим спискам под сетей стран?

Да вроде это давний ресурс, трастовый.

Здоровый пофигизм (http://saanvi.ru)
suffix
На сайте с 26.08.2010
Offline
325
suffix
#17

С geoip ещё mod_security работает. Причем он ещё и сам по себе полезен будет всяко.

Клуб любителей хрюш (https://www.babai.ru)
M2
На сайте с 11.01.2011
Offline
342
mark2011
#18

Берёте отсюда конкретную AS, например вот эту. Находите таблицу с подсетями и копируете её всю в файлик. Прямо всю, вместе с description и Num IPs. Например в /tmp/china. Далее делаете так:


cat /tmp/china | awk ' {print $1} ' > /tmp/china_ips

Получаете файлик, где будут только одни подсети в столбик. Делаем следующее:


ipset create china_ips nethash
while read IP; do ipset add china_ips $IP; done < /tmp/china_ips

В результате у вас созданный блок в ipset заполнится китайскими подсетями. Далее так:


iptables -A INPUT -m set --match-set china_ips src -j DROP

Очищаем файл, куда копировали столбцы со страницы:


cat /dev/null > /tmp/china

Потом переходим на страницу и повторяем все описанные действия со следующей AS. Только с небольшим условием:

  • ipset create china_ips nethash
    - этого уже не делаем.
  • вместо

    • cat /tmp/china | awk ' {print $1} ' > /tmp/china_ips

    cat /tmp/china | awk ' {print $1} ' >> /tmp/china_ips
  • вот этого

    • iptables -A INPUT -m set --match-set china_ips src -j DROP
------------------- Крутые VPS и дедики. Качество по разумной цене ( http://cp.inferno.name/view.php?product=1212&gid=1 ) VPS25OFF - скидка 25% на первый платеж по ссылке выше
eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие
Skom
На сайте с 02.12.2006
Offline
166
Skom
#19

И не забыть поставить iptables-persistent.

И настроить в ifdown/ifup, или что там у вас стоит, сохранение и восстановление правил ipset/iptables при перезагрузке.

Иначе после ребута все эти правила слетят.

iptables_save.sh 


#!/bin/sh

ipset_rules="/etc/iptables/ipset.rules"

[ -f ${ipset_rules} ] && mv ${ipset_rules} ${ipset_rules}.old && /sbin/ipset -S > ${ipset_rules}

/sbin/iptables-save -c > /etc/iptables/rules.v4

/sbin/ip6tables-save -c > /etc/iptables/rules.v6

iptables_load.sh 


#!/bin/sh

/sbin/ipset flush

/sbin/ipset -R -! < /etc/iptables/ipset.rules

/sbin/iptables-restore -c < /etc/iptables/rules.v4

/sbin/ip6tables-restore -c < /etc/iptables/rules.v6

exit 0

Если ipv6 не используется, то соответствующие строчки можно убрать.

Cras amet qui numquam amavit quique amavit cras amet
saanvi
На сайте с 01.04.2015
Offline
108
saanvi
#20

После Великого Китайского запрета, кто-то продолжает ддосить меня (правда, гораздо менее активно) с других пространств. Пакистан, Индия, США тож попадается. Причём, атаки будто по расписанию - примерно в одно и то же время, минут на 10-20. И по логам видно, что схожий принцип - то запросы к главной с кучей меняющихся GET-параметров, то POST на главную же. Кто-нибудь сталкивался с этой фигнёй? Непонятно, чокаво, никто никаких требований не выдвигает, да и сайт для узкой группы людей.

1234 5

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий