Skocz do zawartości
Zaloguj się, aby obserwować  
YagAA

Skuteczne zablokowanie ip

Polecane posty

Witam,

 

pewna osoba spamuje codziennie mój serwis, i niestety, ale nie potrafię sobie z nią poradzić. W .htaccess mam regułę wycinającą (deny from ip delikwenta), dzisiaj dodałem jeszcze iptables -A INPUT -s ip -j DROP , jednak to nic nie daje, ciągle spamuje z tego zbanowanego ip. Jak to jest w ogóle możliwe ? Sprawdzałem, czy .htaccess blokuje poprawnie, zablokowałem swoje ip i nie miałem dostępu do strony, więc jak to możliwe, że jego ip się przebija ?

 

Z góry dzięki za pomoc

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

iptables -A INPUT -s IP -j DROP

Jeśli nie pomoże wytnij całą klasę wstawiając - między ipkami

i wytnij też porty np : 80 /23 itp. itd

 

Lub ogranicz liczbę jednoczesnych połączeń z danego IP

 

/sbin/iptables -A INPUT -p tcp --syn --dport 80 -d ! IP  -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset

 

Więcej o tym masz pod adresem podanym poniżej

 

http://www.cyberciti.biz/faq/iptables-connection-limits-howto/

Edytowano przez xDSL (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

xDSL: Generalnie chodzi o to, że mam stronę rozrywkową, na którą właściciel innego serwisu dodaje obrazek promujący jego stronę kilka razy dziennie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W samej zasadzie powinno wystarczyć to co podałem powyzej kłopot będzie jeśli on posiada dynamiczne IP.

 

Przypadkiem nie wykonuje tego jakiś robot kilka razy dziennie ? Przydały by się tu logi ostatnich połączeń

 

Kolejna kwestia czy aby na pewno iptables działa , widzi mi się ze nie

 

podaj wynik z iptables -L

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Chain INPUT (policy ACCEPT)
target	 prot opt source			   destination
DROP	   all  --  ip		 anywhere
fail2ban-ssh  tcp  --  anywhere			 anywhere		    multiport dports ssh
DROP	   all  --  ip		 anywhere
DROP	   all  --  host112154.metrored.net.mx  anywhere
Chain FORWARD (policy ACCEPT)
target	 prot opt source			   destination
Chain OUTPUT (policy ACCEPT)
target	 prot opt source			   destination
Chain fail2ban-ssh (1 references)
target	 prot opt source			   destination
RETURN	 all  --  anywhere			 anywhere

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja tu widzę tylko blokadę fail2banem podaj to ip i ci napiszę odpowiednią regułkę

 

Zgodnie z rozmową na PW wysłałem ci regułkę

Temat uważam za rozwiązany

 

Dobranoc

Edytowano przez xDSL (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiem, że jest pełno proxy, ale nie mogę zrozumieć, jak to się dzieje, że ip wyciąłem w htaccess i iptables, a i tak i tak się ono przebija.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pokaż iptables -L czy na pewno masz to IP, a gdzie Ci się to IP pojawia jak się przebija?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrzut dodałem wyżej. W miejscu gdzie wpisałem ip jest ip tego człowieka (wyciąłem, żeby nie podawać publicznie). Pojawia się w taki sposób, że dodaje materiały reklamowe swojej strony na mojej stronie, w skrypcie logowane jest ip, po sprawdzeniu okazuje się, że jest to to samo ip, które mam wycięte w iptables i htaccess (deny from).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie sądzę, żeby był aż tak rozgarnięty ;-) W htaccess nie ma żadnych zmian. Wyżej dałem jak wyglądają moje iptables. W htaccess blokuję deny from ip.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wygląda po prostu na to, że tobie się tylko wydaje, że on się łączy z tego adresu IP.

Skąd wziąłeś ten adres - z logów httpd, czy też z panelu administracyjnego skryptu?

Jeśli to drugie, to może pokazywane jest ci jakieś X-Forwarded-For, czy coś w ten deseń,

a nie rzeczywiste IP, z którego nawiązywane jest połączenie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak wskazuje skrypt.

No właśnie... Spójrz więc w kod tego skryptu i zweryfikuj, czy podaje ci on REMOTE_ADDR, czy jakieś inne magie ;) Ewentualnie porównaj to z access.log serwera www.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Nie sądzę, żeby był aż tak rozgarnięty ;-)
Jak narazie jest o wiele bardziej rozgarniety od Ciebie. ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×