Skocz do zawartości
Zaloguj się, aby obserwować  
oski225

Blokada ip serwerowni - jak to ugryźć?

Polecane posty

Witam,

od pewnego czasu mój serwer jest ciągle "atakowany" przez różne serwery z serwerowni LeaseWeb.

Prowadzę stronę głownie dla użytkowników z Polski, więc chciałbym całkowicie zablokować ruch z LeaseWeb.

 

Czy jest to możliwe? Skąd mogę się dowiedzieć jakie są ich adresy ip? Oraz przede wszystkim - jak ich zablokować na serwerze debiana? Wiem, że w tym celu mogę użyć iptables, ale nie znam szczegółów.

 

Proszę o pomoc, pozdrawiam :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na dobry początek:

 

iptables -A INPUT -s 62.212.64.0/19 -j DROP

iptables -A INPUT -s 82.192.64.0/19 -j DROP

iptables -A INPUT -s 83.149.64.0/18 -j DROP

iptables -A INPUT -s 85.17.0.0/16 -j DROP

iptables -A INPUT -s 95.211.0.0/16 -j DROP

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ratujesz mi życie, po tych prostych zmianach już się serwery do mnie nie dobijają :)

 

Jak tylko będziesz w Trójmieście stawiam Ci piwo :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możesz też dodać te klasy do Routingu.

Poleceniem:

route add -net 62.212.64.0/19 reject itd..

Ekonomicznej ;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Null routing ekonomiczniej ?

I czemu używasz przestarzałej komendy route z reject, jak powinno się komendy ip będącej w pakiecie iproute2.

Więc dla potomnych blackhole:

ip route add blackhole 62.212.64.0/29

Jednak wersja mojego imiennika jest lepsza i zalecana wink.png

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Null routing ekonomiczniej ?

I czemu używasz przestarzałej komendy route z reject, jak powinno się komendy ip będącej w pakiecie iproute2.

Więc dla potomnych blackhole:

ip route add blackhole 62.212.64.0/29

Jednak wersja mojego imiennika jest lepsza i zalecana wink.png

 

Można tak i można tak :)

Null routing jest ekonomiczny bo nie musisz dodawać reguł, które defacto muszą dojść do kernela skoro można to już ubić na poziomie sieciówki.

 

Takie moje zdanie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Eee? Ze niby za tablice routingu odpowiada sprzetowo karta sieciowa?

 

Mnie tez wydaje sie, ze zrobienie to przez iptables bedzie wydajniejsze.

Bo w moim odczuciu to jednak przy nullroute na endpoincie, to pakiety przychodzace i tak wejda (jakas inna) trasa i dotra do aplikacji, ale ucinany jest ich powrot. A przy rozwiazaniu patryka blokujesz pakiety przychodzace...

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
Można tak i można tak

Nie, nie firewalle budujemy na serwerach w oparciu o iptables i nie siej herezji.

Nie nie będzie to "ekonomiczniej", a stworzy tylko "burdel" w tablicach routingu.

Tablice routingu jak i tablice filtrów są w kernelu, nie programujesz karty sieciowej wink.png

 

ps. nie stosuj w ogóle reject, a drop wink.png

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możemy zrobić mały test jeżeli uważasz , że Twój iptables będzie lepszym rozwiązaniem.

Załaduj sobie 5 tyś klas i daj im dropa a ja załduje 5 tyś do routingu i zobaczymy , które będzie wydajniejsze.

Testowałem i wiem, że wydajne jest dodanie do routingu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Wydajniejsze przy czym ? W załadowaniu ? czyszczeniu ?

No raczej nie, symulacje czego chcesz zrobić by było to miarodajne?

 

Powiedz mi przy okazji po co te 5000 zakresów filtrować ?

Może lepiej zablokować już wszystko i odblokować kilka wink.png

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

5 tyś klas musiał by jeden pakiet przelecieć przez cały drop.

Przy średnim ruchu 10 mb to była by masakra.. a niech to będzie jeszcze ruch voipowy to już masakra razy dwa smile.png

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

nie prawda, fakt faktem 5k dropow na ipt czy na rt to paranoja, bo pakiety sobie szukaja "wyjscia" ale od takiej ilosci blokowanych prefixow nie sa docelowe hosty. Filtrowanie ruchy to nie jest kwestia na celeronka pod biurkiem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

nie prawda, fakt faktem 5k dropow na ipt czy na rt to paranoja, bo pakiety sobie szukaja "wyjscia" ale od takiej ilosci blokowanych prefixow nie sa docelowe hosty. Filtrowanie ruchy to nie jest kwestia na celeronka pod biurkiem.

 

Owszem, ale są ludzie, którzy nie mają wypasionych serwerów i dla nich to jest dobrym rozwiązaniem.

Nie ma sensu przecież się ciskać, która opcja jest dobra.

Dla mnie jest ta, którą napisałem a dla was np jest iptables. Ważne, że oby dwie spełniają swoje zamierzenie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
Nie ma sensu przecież się ciskać, która opcja jest dobra.

Dla mnie jest ta, którą napisałem a dla was np jest iptables. Ważne, że oby dwie spełniają swoje zamierzenie.

Ja Cie tylko uświadamiam, że robisz głupotę, jednak to jak w ścianę więc wklepuj dalej te reject'y komendą route ;)

Nie trzeba super sprzętu by przefiltrować spory ruch ( z głową ), to nie jest obróbka video.

Widziałem już takie magie, że dostęp do NFS był wycięty przez hosts.deny, jakieś super reguły ala firewall na iptables i faktycznie brakowało tylko tego blackhole ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja Cie tylko uświadamiam, że robisz głupotę, jednak to jak w ścianę więc wklepuj dalej te reject'y komendą route wink.png

Nie trzeba super sprzętu by przefiltrować spory ruch ( z głową ), to nie jest obróbka video.

Widziałem już takie magie, że dostęp do NFS był wycięty przez hosts.deny, jakieś super reguły ala firewall na iptables i faktycznie brakowało tylko tego blackhole wink.png

 

To Ty tak uważasz ;-) i niech tak zostanie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość pzebracki

Witam,

od pewnego czasu mój serwer jest ciągle "atakowany" przez różne serwery z serwerowni LeaseWeb.

Prowadzę stronę głownie dla użytkowników z Polski, więc chciałbym całkowicie zablokować ruch z LeaseWeb.

 

Czy jest to możliwe? Skąd mogę się dowiedzieć jakie są ich adresy ip? Oraz przede wszystkim - jak ich zablokować na serwerze debiana? Wiem, że w tym celu mogę użyć iptables, ale nie znam szczegółów.

 

Proszę o pomoc, pozdrawiam smile.png

 

Jeżeli chcesz BARDZO skutecznie blokować bloki adresów. Polecam RIPE. Tam masz wszystko skondensowane w całość.

Zresztą to jest już coraz częstsza praktyka ISP :)

 

np. Brak informacji w RIPE i wymianie AS z danym ISP, mozesz sie zdziwić że tobie BGP nie zaskoczy :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×