Geo IP

[robson345 53]

Zainstalowałem sobie moduł geo ip do iptables bo kilka dni temu przeżyłem najazd botów z Chin. Wszystko zainstalowało się poprawnie oraz pod dodaniu reguły

 

 

iptables -A INPUT -m geoip --src-cc CN -j DROP

 

i wymaganym restarcie uspokoiło się. Jednak co jakiś czas pojawiają się wejścia botów z chińskich IP. Czy to normalne że pojedyncze wejścia zdarzają się?

[Miłosz 2311]

A aktualizujesz bazę IP? Miej na uwadze, że niektóre klasy adresowe nie są jeszcze zaalokowane, więc nie ma ich w bazie.

[robson345 53]

Poszła aktualizacja bazy z maxmind, zobaczymy czy coś pomoże.

[Gość Spoofy]

Z moich doświadczeń wynika że skuteczność geoip jest na poziomie 60-65proc. względem dokładności

[robson345 53]

Właśnie widzę że Chiny nie do końca dodane do bazy.

[Suspect121 53]

Jeżeli masz sporo czasu i chcesz stworzyć własne, dokładniejsze reguły to łap link do strony gdzie wygenerujesz listę zakresów IP w formacie CIDR dla wybranego kraju. W przypadku Chin wychodzi tego sporo ponieważ ponad 5tys zakresów IP. Możesz to zredukować ręcznie.

 

https://www.countryipblocks.net/country_selection.php

[Pan Kot 1535]

Z doświadczenia wiem, że regułki oparte o kraj są naprawdę słabe. Lepiej logować podejrzane zachowania (access.log + error.log) i napisać sobie własne filtry chociażby do fail2bana (jest naprawdę mocno modularny), tak żeby wycinać IPki w zależności od przewinień, aniżeli kraju z którego pochodzą.

 

Oczywiście zrobisz jak uważasz.

[robson345 53]

Widzisz Archi problem w tym że chodzi o spamowanie przez boty i nie wiem czy uda się coś napisać pod f2b. W sumie po zainstalowaniu geoip ilość spamu spadła do około 100 wpisów dziennie, gdzie wcześniej leciało to w setkach. Najłatwiejszym rozwiązaniem było by włączenie captcha a ja chce tego właśnie uniknąć i znaleźć inne rozwiązanie.