Бан по континентам

Автор: admin от 27-02-2014, 13:40, посмотрело: 523

Бан по континентам

В одно прекрасное утро я просматривал логи и задал себе ряд вопросов:


  • А жду ли я письма из Юго-Восточной Азии? ( когда смотрел логи почты )

  • И с какого перепугу ко мне стучаться ssh брутфорсеры из Штатов?

  • Мне надо терпеть сетевые сканеры из Австралии?

  • Кто мне звонит из Африки? (когда разглядывал логи asterisk)

  • С какой стати к моему POP-серверу обращаются из Латинской Америки?



  • Почему бы не забанить по континентам? Оставив только нужный континент(ы)?




    Получился вот такой маленький скрипт, который банит полмира:

    #!/bin/sh
    
    # AFRINIC - Африка
    # APNIC - Азия, Океания и Австралия
    # ARIN - Северная Америка
    # LACNIC - Центральная и Южная Америка
    # RIPE NCC - Европпа и Ближний Восток
    
    
    # Подставьте континенты, которые надо забанить с разделителем |
    BAN_CONT='AFRINIC|APNIC|LACNIC' 
    
    # Получаем список Ipv4 адресов с официального сайта iana.org и приводим к каноническому виду
    
    list=`curl -s  http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv 
    | egrep $BAN_CONT  
    | cut -d "," -f 1        
    | sed 's!/8!.0.0.0/8!g' `
    
    # Баним
    
    for ip in $list; do
    iptables -I INPUT -s $ip  -j DROP # Здесь можно и порт указать и протокол. Все по вкусу. 
    done
    
    




    После этого в логах наступило умиротворение и спокойствие.
    А для остального есть fail2ban.

    Такого рода баны по континентам приносят дополнительную безопасность, уменьшают трафик, уменьшают размер логов
    и при правильном использовании облегчают ситуацию при ддос атаке.

    P.S.


    Бан по континентам — лезвие обоюдоострое.
    Например, забанили ARIN (Северную Америку) и если gmail забирает у вас почту с POP сервера, то после бана забирать уже не сможет и т.д.
    Будьте внимательны!

    P.S.2


    Почему я не использую geoip?


  • Попадал в конфузные ситуации, когда IP адрес добавился к России, а в базе geoip он еще не обновился

  • Его надо везде устанавливать, а если серверов много, то можно запарится этим заниматься


  • Источник: Хабрахабр

    Категория: Системное администрирование, Информационная безопасность, Linux

    Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
    Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    Добавление комментария

    Имя:*
    E-Mail:
    Комментарий:
    Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
    Введите два слова, показанных на изображении: *