Кто как блокирует целые страны (Китай, например)?

cloud-shield
На сайте с 25.01.2017
Offline
43
#11

У сервисов защиты от атак обычно имеется возможность блокировать доступ странами, выбирая их списком.

Если осуществляете самостоятельную блокировку через iptables, то не лишним будет следить за актуальностью geoip базы, иначе могут быть ложные блокировки.

Защита сайтов, vps и дедиков от DDoS атак - Cloud-Shield.ru (https://cloud-shield.ru)
LEOnidUKG
На сайте с 25.11.2006
Online
1560
#12
saanvi:
Да, там тоже ipset в связке с iptables. Видимо, лучшего решения не найти. Спасибо всем, посоны!

ipset обязателен, при блокировки большого списка IP, иначе сервер будет просто умирать, проверенно на своём сервере. 🚬

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
baas
На сайте с 17.09.2012
Offline
124
#13
saanvi:
Собственно, мне и нужен был готовый список. Собственно, я уже его и нашёл. Не думал, что это будет так просто. Финита ля. :)

А можно верить этим спискам под сетей стран?

---------- Добавлено 18.11.2019 в 19:01 ----------

LEOnidUKG:
Да обычно на фаерволе просто прописывается страна и всё. Например CN и идёт блокировка всех стран. А руками искать эти списки, потом они ещё обновляются, это запариться можно.

А это как прописать к примеру в iptables/ipfw?

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
M
На сайте с 17.09.2016
Offline
89
#14

baas, Для этого нужен модуль geoip для iptbles

LEOnidUKG
На сайте с 25.11.2006
Online
1560
#15
baas:

А это как прописать к примеру в iptables/ipfw?

Я там ссылку давал, как всё это настраивается. И да модуль Geoip нужен.

saanvi
На сайте с 01.04.2015
Offline
108
#16
baas:
А можно верить этим спискам под сетей стран?

Да вроде это давний ресурс, трастовый.

Здоровый пофигизм (http://saanvi.ru)
suffix
На сайте с 26.08.2010
Offline
264
#17

С geoip ещё mod_security работает. Причем он ещё и сам по себе полезен будет всяко.

Клуб любителей хрюш (https://www.babai.ru)
M2
На сайте с 11.01.2011
Offline
323
#18

Берёте отсюда конкретную AS, например вот эту. Находите таблицу с подсетями и копируете её всю в файлик. Прямо всю, вместе с description и Num IPs. Например в /tmp/china. Далее делаете так:


cat /tmp/china | awk ' {print $1} ' > /tmp/china_ips

Получаете файлик, где будут только одни подсети в столбик. Делаем следующее:


ipset create china_ips nethash
while read IP; do ipset add china_ips $IP; done < /tmp/china_ips

В результате у вас созданный блок в ipset заполнится китайскими подсетями. Далее так:


iptables -A INPUT -m set --match-set china_ips src -j DROP

Очищаем файл, куда копировали столбцы со страницы:


cat /dev/null > /tmp/china

Потом переходим на страницу и повторяем все описанные действия со следующей AS. Только с небольшим условием:

  • ipset create china_ips nethash
    - этого уже не делаем.
  • вместо

  • cat /tmp/china | awk ' {print $1} ' > /tmp/china_ips

    cat /tmp/china | awk ' {print $1} ' >> /tmp/china_ips
  • вот этого

  • iptables -A INPUT -m set --match-set china_ips src -j DROP
------------------- Крутые VPS и дедики. Качество по разумной цене (http://cp.inferno.name/view.php?product=1212&gid=1) VPS25OFF - скидка 25% на первый платеж по ссылке выше
Skom
На сайте с 02.12.2006
Offline
152
#19

И не забыть поставить iptables-persistent.

И настроить в ifdown/ifup, или что там у вас стоит, сохранение и восстановление правил ipset/iptables при перезагрузке.

Иначе после ребута все эти правила слетят.

iptables_save.sh


#!/bin/sh
ipset_rules="/etc/iptables/ipset.rules"
[ -f ${ipset_rules} ] && mv ${ipset_rules} ${ipset_rules}.old && /sbin/ipset -S > ${ipset_rules}
/sbin/iptables-save -c > /etc/iptables/rules.v4
/sbin/ip6tables-save -c > /etc/iptables/rules.v6

iptables_load.sh


#!/bin/sh
/sbin/ipset flush
/sbin/ipset -R -! < /etc/iptables/ipset.rules
/sbin/iptables-restore -c < /etc/iptables/rules.v4
/sbin/ip6tables-restore -c < /etc/iptables/rules.v6
exit 0

Если ipv6 не используется, то соответствующие строчки можно убрать.

Cras amet qui numquam amavit quique amavit cras amet
saanvi
На сайте с 01.04.2015
Offline
108
#20

После Великого Китайского запрета, кто-то продолжает ддосить меня (правда, гораздо менее активно) с других пространств. Пакистан, Индия, США тож попадается. Причём, атаки будто по расписанию - примерно в одно и то же время, минут на 10-20. И по логам видно, что схожий принцип - то запросы к главной с кучей меняющихся GET-параметров, то POST на главную же. Кто-нибудь сталкивался с этой фигнёй? Непонятно, чокаво, никто никаких требований не выдвигает, да и сайт для узкой группы людей.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий