Blocco massivo di indirizzi ip

[sirio81]

Ciao a tutti, ho un server di posta sotto attacco da ip russi.
Gli attacchi arrivano sempre da ip differenti quindi anche fail2ban non riesce a fare miracoli.

Sto considerando di bloccare tutto il continente russo :-)
Su

Codice: Seleziona tutto

questo sito

è possibile ottenere uno script che blocca le varie classi di ip provenienti dalla russia.

Ci sono 2 cose che mi stanno a cuore:

1. avere le regole su una catena separata, in modo da poter comodamente eliminare la catena senza interferire sulle regole di INPUT.
2. loggare le richieste fallite

Il file scaricato contiene 6478 righe.
Ogni riga mette in drop una classe di ip.

Pensavo fi creare la catena FILTRARU e far passare tutte le richieste delle porte 25 ed 80 (80 per la webmail).

Codice: Seleziona tutto

iptables -N FILTRARU
iptables -I INPUT 1 -p tcp -m multiport --dports 25,80 -j FILTRARU

Per evitare di duplicare le 6478 regole (una per loggare e una per droppare), andrei a creare una nuova catena

Codice: Seleziona tutto

iptables -N LOGDROP
iptables -P LOGDROP DROP
iptables -A LOGGROP -p tcp -j LOG --log-prefix "iptables-ru: " --log-level 4

E in fine, modifichere le 6478 righe della lista ottenuta in modo da reinoltrare le regole matchate sulla catena LOGDROP.
Esempio:

Codice: Seleziona tutto

da
iptables -A INPUT -s 2.16.159.0/24 -j DROP
a
iptables -A INPUT -s 2.16.159.0/24 -j LOGDROP

Che ne pensate?

[metaldaze]

A prima vista direi che va bene. In base alla tipologia di attacco e alla quantità di pacchetti che arrivano al server potrebbe valer la pena aggiungere anche un "limit" alla regola per il log, così da evitare di far crescere a dismisura i file di log.

[ferdybassi]

Vedrai quando arrivano i cinesi e i taiwanesi
Scherzi a parte, anche secondo me direi che va bene.
Bello il suggerimento di metaldaze.

Ciao ciao