Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jarda@ 29. 04. 2014, 12:29:38
-
Dobry den,
nedavno jsem si udelal script, ktery mi ze vsech serveru taha IP adresy, ktere se jakkoliv pokusily "hacknout" servery, ktere maji pristup na internet ...
Script dela to, ze si projede vsechny urcene logy, vytahne IP adresy a strci je do firewallu s parametrem -j DROP. Aktualni seznam blokovanych IP ma neco kolem 10 000 zaznamu. Zaznamenal jsem, ze pokud obnovim vychozi pravidla FW ( forwardy, NAT atd), linka je na 30 Mbit, pokud se script spusti a vlozi zpet vsechny IP, pak rychlost poklesne o 2/3 pri CPU cca 50 % ...
Chtel jsem se zeptat, jeslti nekdo nema podobnou zkusenost?
-
Nedelas dobre Vladimire, s tou sirkou! To nema cenu, adres je prilis mnoho na jeden router, akorat ho zahltis pravidly a skody bude vic nez uzitku.
-
Odpověď zní ipset (https://wiki.archlinux.org/index.php/Ipset).
-
Potřebujete ten lineární seznam IP adres, ve kterém se strašně neefektivně hledá adresa pro každý zpracovávaný paket, předělat takto: http://ipset.netfilter.org
-
Bude to znit divne, ale filtrovat konkretni IP je v 99% pripadu blbost. Kdyz vas nekdo fakt bude chtit hacknout, tak se o to pokusi znovu z jine IP; vetsina jsou boti, co to zkusi a kdyz to nejde, tak se nepokouseji znovu.
Kdyz potrebujete ochranit, pouzijte radeji whitelist.