- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Яндекс проведет прямой эфир с командой стажировок
Трансляция пройдёт 3 марта в 19:00
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
iptables не пашет
Ну а как без фаервола блокировать.
Ну а как без фаервола блокировать.
\
iptables с таким количеством на справляется просто, могли бы знать.
"не пашет" и "не справляется" не одно и тоже.
Во-вторых на нормальной машинке справляется.
Но для такого количества придумали ipset.
"не пашет" и "не справляется" не одно и тоже.
Во-вторых на нормальной машинке справляется.
Но для такого количества придумали ipset.
Сервер - мощный.
ipset пишет что версия его и кернеля разные.
#ipset -V
ipset v4.2, protocol version 4.
ipset v4.2: Kernel ip_set module is of protocol version 6.I'm of protocol version 4.
Please upgrade your kernel and/or ipset(8) utillity.
вот и мучаюсь
Linux web 3.2.0-0.bpo.4-amd64 #1 SMP Debian 3.2.54-2~bpo60+1 x86_64 GNU/Linux
Даже X3440 скрепя зубами, но выдерживал несколько десятков тыс. Но разумеется что это не выход из ситуации.
Ну а что вам нужно сделать вы и сами знаете, вам же написало:
Обновите ipset.
Даже X3440 скрепя зубами, но выдерживал несколько десятков тыс. Но разумеется что это не выход из ситуации.
Ну а что вам нужно сделать вы и сами знаете, вам же написало:
Обновите ipset.
гениально, я то не догадался.
Так в чем проблема?
Зачем спрашиваете "как забанить" если ответ знаете?
может кто подсказать, как забанить 40000 ip из ботнета?
iptables не пашет, cloudfare c pro - снимают с поддержки
траффик - под 170Мбит.
Рекомендую посмотреть на список IP ботов.
Наверняка многие из ботов из одной подсети.
В итоге всех ботов из одной подсети можно банить всего одним правилом iptables или ipset.
В результате убиваем двух зайцев
1) Сокращаем количество правил.
2) Так как мы баним сразу подсеть, то мы автоматически баним и тех ботов из этой подсети, которые еще не обнаружены.
У меня для этого написана программка на С, которая находит в ботнете подсети класса Х и банит их если в них более Y ботов.
В теме про antiddos-решения упоминался способ без iptables
/ru/forum/comment/11618405;postcount=12
Причем решение предусматривает посылку RST жертвам. То есть еще и не будут заваливать арбузами. и размер наведенной атаки уменьшается в шесть раза для линукс жертв с дефолтным TCP. !!!!
То есть рекомендую к обязательному применению всем на frontend серверах.
странный же вы . сначала заявили что conntrack слишком вас грузит, потом рекомендуете этот способ всем.