- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Извне. Значит должно выглядить так:
iptables -I INPUT -m iprange --src-range 0.0.0.0-50.0.0.0 -j DROP
но при этом блокируется вообще всякий доступ извне. :gm: Включая меня.
Может скрипт не так записан(кусок отвечающий за диапазон):
blacklist.txt имеет формат
ip1-ip22
ip3-ip44
На борту debian 5
В чем проблема? Спасибо
Дак может Вы просто попали под раздачу бана?
Вы хоть запихните себя в whitelist для приличия, тем более ежели баните сразу по пол-интернета :D
на вид этот кусок нормальный. если только -m iprange не подгрузился и команда получилась iptables -I INPUT -j DROP - разумеется она все заблокирует.
Я всегда на удаленных серверах сначала заменяю DROP на LOG и тестирую. Это дает возможность проверить какие пакеты блокируются, но не потерять доступ даже в очень сложных схемах.
на вид этот кусок нормальный. если только -m iprange не подгрузился и команда получилась iptables -I INPUT -j DROP - разумеется она все заблокирует.
Подгружается оно давно уже автоматом. Это откуда-то из "времен очаковских... aka ядро 2.4.x".
Я всегда на удаленных серверах сначала заменяю DROP на LOG и тестирую. Это дает возможность проверить какие пакеты блокируются, но не потерять доступ даже в очень сложных схемах.
Еще полезно создавать отдельную цепочку логически объединенных правил
А дальше можно подключить все это дело в INPUT и открутить обратно одной командой, типа
PS: Полезно также помнить про man iptables-apply и LOG можно сразу заменять на DROP без особых опасений ;)
PS: Полезно также помнить про man iptables-apply и LOG можно сразу заменять на DROP без особых опасений
прикольно. с очаковских времен, что только не придумывал для имитации этого.
Но как им пользоваться если скрипт загружает не простыню из файла, а набор сложных правил с модулями и тд, вот как тут у ТС?
сформировать простыню сразу скриптом уже сложнее.
дополнительные цепочки - излишняя работа для iptables.
покажите сформированный список "cat /usr/local/etc/blacklist.txt" , и что бы вас не банило добавить надо в блек лист вашу подсеть первой, что бы вы как бы были уже в бане тогда скрипт не будет добовлять в Iptables вас
создайте новую цепочку , как и говорили до этого. После создания цепочки просто с флагом -j RETURN свой IP выводите из нее, а дальше пусть что хочется блокируется)
Выкладываю blacklist -
http://rapidshare.com/files/406585936/blacklist.txt
Я всегда на удаленных серверах сначала заменяю DROP на LOG и тестирую.
Т.е. в консоли просто написать iptables -I INPUT -m iprange --src-range 0.0.0.0-50.0.0.0 -j LOG и посмотреть что будет?🚬
Еще полезно создавать отдельную цепочку логически объединенных правил.А дальше можно подключить все это дело в INPUT и открутить обратно одной командой, типа
Для меня пока это сложно.:(
и что бы вас не банило добавить надо в блек лист вашу подсеть первой, что бы вы как бы были уже в бане тогда скрипт не будет добовлять в Iptables вас
Имелся ввиду наверное белый список. Ну так я же не в blacklist'e
создайте новую цепочку , как и говорили до этого. После создания цепочки просто с флагом -j RETURN свой IP выводите из нее, а дальше пусть что хочется блокируется)
а можно на кошках?
прикольно. с очаковских времен, что только не придумывал для имитации этого.
Но как им пользоваться если скрипт загружает не простыню из файла, а набор сложных правил с модулями и тд, вот как тут у ТС?
сформировать простыню сразу скриптом уже сложнее.
Ну, "как у ТС" - там все совсем просто. Пишем скриптом файл прямо в формате iptables-save/restore. Или просто - строчка awk переделает его исходный *.txt в то что нужно.
Но в общем, эта штука расчитана больше на ручную работу с правилами. Сдампил, поломал, залил, поимел проблему с доступом - откатили изменение.
дополнительные цепочки - излишняя работа для iptables.
Почему? Когда работают - особого эффекта от цепочек по сравнению с "плоскими" правилами - особо не заметно. Когда не работают - каши не просят. Имеем в любом случае профит в виде человеческого управления правилами.
чем плох ipset ?
А куда iptables пишет лог(LOG --log-level=debug), что-то не соображу. В syslog нету