Blocco massivo di indirizzi ip

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine
Rispondi
sirio81
Hero Member
Hero Member
Messaggi: 1104
Iscritto il: 13/02/2006, 5:04
Contatta:

Blocco massivo di indirizzi ip

Messaggio da sirio81 »

Ciao a tutti, ho un server di posta sotto attacco da ip russi.
Gli attacchi arrivano sempre da ip differenti quindi anche fail2ban non riesce a fare miracoli.

Sto considerando di bloccare tutto il continente russo :-)
Su

Codice: Seleziona tutto

questo sito
è possibile ottenere uno script che blocca le varie classi di ip provenienti dalla russia.

Ci sono 2 cose che mi stanno a cuore:
  1. avere le regole su una catena separata, in modo da poter comodamente eliminare la catena senza interferire sulle regole di INPUT.
  2. loggare le richieste fallite
Il file scaricato contiene 6478 righe.
Ogni riga mette in drop una classe di ip.

Pensavo fi creare la catena FILTRARU e far passare tutte le richieste delle porte 25 ed 80 (80 per la webmail).

Codice: Seleziona tutto

iptables -N FILTRARU
iptables -I INPUT 1 -p tcp -m multiport --dports 25,80 -j FILTRARU
Per evitare di duplicare le 6478 regole (una per loggare e una per droppare), andrei a creare una nuova catena

Codice: Seleziona tutto

iptables -N LOGDROP
iptables -P LOGDROP DROP
iptables -A LOGGROP -p tcp -j LOG --log-prefix "iptables-ru: " --log-level 4
E in fine, modifichere le 6478 righe della lista ottenuta in modo da reinoltrare le regole matchate sulla catena LOGDROP.
Esempio:

Codice: Seleziona tutto

da
iptables -A INPUT -s 2.16.159.0/24 -j DROP
a
iptables -A INPUT -s 2.16.159.0/24 -j LOGDROP
Che ne pensate?
metaldaze
Hero Member
Hero Member
Messaggi: 2350
Iscritto il: 13/12/2005, 5:18
Località: Torino

Re: Blocco massivo di indirizzi ip

Messaggio da metaldaze »

A prima vista direi che va bene. In base alla tipologia di attacco e alla quantità di pacchetti che arrivano al server potrebbe valer la pena aggiungere anche un "limit" alla regola per il log, così da evitare di far crescere a dismisura i file di log.
Avatar utente
ferdybassi
Administrator
Administrator
Messaggi: 3366
Iscritto il: 28/12/2006, 4:22
Località: S. Angelo Lodigiano (LO)

Re: Blocco massivo di indirizzi ip

Messaggio da ferdybassi »

Vedrai quando arrivano i cinesi e i taiwanesi :) :)
Scherzi a parte, anche secondo me direi che va bene.
Bello il suggerimento di metaldaze.

Ciao ciao
Rispondi