IPTABLES - blokada adresów

[j1gg 2]

Witam, czy jest możliwość zablokowania wszystkich adresów oprócz polskich?

[Pan Kot 1535]

CSF oferuje taką opcję.

 

Poza tym "prostszej" metody nie ma, musisz się pośredniczyć jakimiś globalnymi listami bądź wykonywać konkretny skrypt na rzecz każdego połączenia. Jeśli CSF Ci nie odpowiada to jest jeszcze kilka innych np. shorewall, ale nie wiem czy on też posiada taką opcję. Pewno ma.

[Gość Kamikadze]

Można by zrobić skrypt który w bazie whois sprawdza dane IP i albo dopuszcza jeżeli jest Country: PL albo nie.

 

Ale Archi chyba dał lepsze rozwiązanie

[Pan Kot 1535]

Też o tym myślałem i da się to zrobić nawet z poziomu basha, ale strasznie wydłuża to połączenie klient => serwer, a zatem nie zdaje egzaminu. Do tego whois może źle kwalifikować adresy, zresztą CSF/shorewall też. Nie widzę sensu robienia czegoś takiego szczerze mówiąc, jeśli to ddos to po stronie serwera i tak nic nie zrobisz, a jeśli to nieproszeni goście to doszukiwałbym się konfiguracji konkretnego programu/usługi, a nie rozwiązania systemowego.

[Gość Kamikadze]

Chyba że zrobić coś w rodzaju cache hehe

 

Każdy adres wpisywany jest do pliku albo do bazy danych i gdy wchodzi ponownie to jest olewany przez skrypt już na starcie

 

Archi może i to bez sensu, ale użytkownik pytał się o rozwiązanie problemu a to jedno z nich

[Pan Kot 1535]

Sprawdzanie cache'u wyjdzie jeszcze gorzej wydajnościowo niż direct whois... .

 

Najprostsze rozwiązanie to CSF/shorewall i przy tym bym się zatrzymał. Co nie znaczy, że jakoś krytykuje Twoje rozwiązanie bo również będzie działać.

[Gość Kamikadze]

Każde rozwiązanie ma plusy i minusy hehe

 

Zależy też od ruchu i "indeksowania" tych danych, ale zgodzę się z Tobą że to nie jest dobre rozwiązanie.

[Marek607 655]

Najwygodniej to:

 

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

 

Ale jak poprzednicy pisali - nie jest to dokładne rozwiązanie.