IPtables pravidla pro blokaci 10K adres

Jarda@ · « **kdy:** 29. 04. 2014, 12:29:38 »

Dobry den,

nedavno jsem si udelal script, ktery mi ze vsech serveru taha IP adresy, ktere se jakkoliv pokusily "hacknout" servery, ktere maji pristup na internet ...

Script dela to, ze si projede vsechny urcene logy, vytahne IP adresy a strci je do firewallu s parametrem -j DROP. Aktualni seznam blokovanych IP ma neco kolem 10 000 zaznamu. Zaznamenal jsem, ze pokud obnovim vychozi pravidla FW ( forwardy, NAT atd), linka je na 30 Mbit, pokud se script spusti a vlozi zpet vsechny IP, pak rychlost poklesne o 2/3 pri CPU cca 50 % ...

Chtel jsem se zeptat, jeslti nekdo nema podobnou zkusenost?

Reklama

Fantomas · « **Odpověď #1 kdy:** 29. 04. 2014, 12:41:40 »

Nedelas dobre Vladimire, s tou sirkou! To nema cenu, adres je prilis mnoho na jeden router, akorat ho zahltis pravidly a skody bude vic nez uzitku.

Ondřej Caletka · « **Odpověď #2 kdy:** 29. 04. 2014, 12:43:01 »

Odpověď zní ipset.

Kolemjdoucí · « **Odpověď #3 kdy:** 29. 04. 2014, 12:43:24 »

Potřebujete ten lineární seznam IP adres, ve kterém se strašně neefektivně hledá adresa pro každý zpracovávaný paket, předělat takto: http://ipset.netfilter.org

werwertwert · « **Odpověď #4 kdy:** 29. 04. 2014, 15:14:51 »

Bude to znit divne, ale filtrovat konkretni IP je v 99% pripadu blbost. Kdyz vas nekdo fakt bude chtit hacknout, tak se o to pokusi znovu z jine IP; vetsina jsou boti, co to zkusi a kdyz to nejde, tak se nepokouseji znovu.

Kdyz potrebujete ochranit, pouzijte radeji whitelist.

Reklama

IPtables pravidla pro blokaci 10K adres

Jarda@

IPtables pravidla pro blokaci 10K adres

Reklama

Fantomas

Re:IPTABLES - 100000 IP adres -j DROP

Ondřej Caletka

Re:IPTABLES - 100000 IP adres -j DROP

Kolemjdoucí

Re:IPTABLES - 100000 IP adres -j DROP

werwertwert

Re:IPtables pravidla pro blokaci 10K adres

Reklama