- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приветствую!
Имеется VDS с CentOS 7 и панелью ISPmanager 5 Lite. Возникла задача заблокировать полностью некоторые страны по IP. Перелопатив кучу мануалов и просто околотематичных статей, остановился на 2-х вариантах реализации блокировки:
1. iptables + xtables + GeoIP
2. iptables + ipset
Начал с 1-го варианта. Современного пошагового мануала не обнаружил, в основном перепечатки перевода этой статьи или свои варианты похожие на неё. Всё что там нужно было установить ставил из базового репозитория, кроме xtables-addons-2.6. Остановился на инсталяции xtables-addons, при выполнении команды # make выдаёт ошибки:
make all-recursive
make[1]: Entering directory `/usr/lib64/xtables-addons-2.6'
Making all in extensions
make[2]: Entering directory `/usr/lib64/xtables-addons-2.6/extensions'
Xtables-addons 2.6 - Linux make: Entering an unknown directory
make: *** /lib/modules/3.10.0-229.4.2.el7.x86_64/build: No such file or directory. Stop.
make: Leaving an unknown directory
make[2]: *** [modules] Error 2
make[2]: Leaving directory `/usr/lib64/xtables-addons-2.6/extensions'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/usr/lib64/xtables-addons-2.6'
make: *** [all] Error 2
Не у одного меня такой результат был, на что автор статьи рекомендовал закомментировать строку #define CONFIG_IP6_NF_IPTABLES_MODULE 1 в файле autoconf.h. Проблема в том, что такого файла по указанному адресу /lib/modules/your_kernel_version/build/include/linux/autoconf.h нет. Его вообще нет в папке с kernel. Как решить проблему?
Со вторым вариантом в плане установки всё гладко, установил из базового репозитория ipset и всё. Нашел пару сервисов предоставляющих списки IP конкретных стран, например. Вопрос тут в другом, как в него добавить массово большое кол-во IP? Допустим, собрал я "солянку" из нужных IP в текстовый файл, как из него загрузить данные в ipset?
если список уже собран чем стандартный iptables не угодил для блокировки.
пишите небольшой .sh скрипт, запускаете его и все забанены
если список ip насчитывает тысячи, то есть смысл банить подсетями
---------- Добавлено 27.06.2015 в 18:05 ----------
1й вариант не сделаете если у вас openvz, т.е. ядро у вас не свое, а общее корневой системы и патчить его вы не сможете.
если список уже собран чем стандартный iptables не угодил для блокировки.
пишите небольшой .sh скрипт, запускаете его и все забанены
если список ip насчитывает тысячи, то есть смысл банить подсетями
---------- Добавлено 27.06.2015 в 18:05 ----------
1й вариант не сделаете если у вас openvz, т.е. ядро у вас не свое, а общее корневой системы и патчить его вы не сможете.
Встречал неоднократно информацию о том, что если добавить в iptables несколько тысяч таких записей, то он будет заметно нагружать систему. Даже если подсетями банить, там только Китай на 6,5К записей тянет, а Китаем ограничиваться не хочется. Для этого якобы и нужен ipset.
Нет ли случаем примера подобного скрипта? Я в этом не силён 😕
Сервер полностью мой, "дедик".
x-234, да попробуйте просто. сделайте conntrack и первым правилом пропускайте с меткой -m ESTABLISHED - это основной трафик пустит в обход проверок.
Вычислительные возможности современных процессоров на самом деле намного опережают потребности хостинга. Жалуются то антиддосеры и провайдеры доступа в интернет.
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset
Интересно, откуда возникла такая цель? Чтобы производитель товара ни сном ни духом, что вы его перепродаете?