S125.ru - форумы
Правила форума Помощь Поиск Пользователи Календарь
 
Ответить в данную темуНачать новую тему
Брандмауэр (firewall) iptable, Как заблокировать промежуток айпи?
13Артур13
сообщение 14.11.2014, 14:01
Сообщение #1





Группа: Пользователи
Сообщений: 3 875
Регистрация: 21.9.2009




(IMG:style_emoticons/default/smile.gif) Народ. кто знает как заблокировать в фаерволе определенный пул айпишников, например с 5.165.16.0 по 5.165.23.255... варианты 5.165.16.0/8/16 и т.д. тут как то не але...
Или можно прям указать 5.165.16.0 - 5.165.23.255?

Сообщение отредактировал 13Артур13 - 14.11.2014, 14:04
Перейти в начало страницы
 
+Цитировать сообщение
Anarchy
сообщение 14.11.2014, 14:14
Сообщение #2


Люблю дыньки :-)


Группа: Супермодератор
Сообщений: 1 451
Регистрация: 22.8.2011
Из: интырнетоф




5.165.16.0/21
Перейти в начало страницы
 
+Цитировать сообщение
13Артур13
сообщение 14.11.2014, 14:16
Сообщение #3





Группа: Пользователи
Сообщений: 3 875
Регистрация: 21.9.2009




Цитата(Anarchy @ 14.11.2014, 14:14) *
5.165.16.0/21

А такой вариант не проканает? 5.165.16.0 - 5.165.23.255
Спрашиваю. потому. как фаер схавал такой вариант... вот тока работать оно так будет или нет пока незнаю...

Сообщение отредактировал 13Артур13 - 14.11.2014, 14:18
Перейти в начало страницы
 
+Цитировать сообщение
Anarchy
сообщение 14.11.2014, 14:20
Сообщение #4


Люблю дыньки :-)


Группа: Супермодератор
Сообщений: 1 451
Регистрация: 22.8.2011
Из: интырнетоф




Цитата(13Артур13 @ 14.11.2014, 14:16) *
А такой вариант не проканает? 5.165.16.0 - 5.165.23.255
Спрашиваю. потому. как фаер схавал такой вариант... вот тока работать оно так будет или нет пока незнаю...

некрасиво так =)

-m iprange --src-range 5.165.16.0 - 5.165.23.255 -j ACTION
-m iprange --dst-range 5.165.16.0 - 5.165.23.255 -j ACTION

наверное так,но я никогда так не делал

с маской читать удобнее же
Перейти в начало страницы
 
+Цитировать сообщение
13Артур13
сообщение 14.11.2014, 14:29
Сообщение #5





Группа: Пользователи
Сообщений: 3 875
Регистрация: 21.9.2009




Цитата(Anarchy @ 14.11.2014, 14:20) *
некрасиво так =)

-m iprange --src-range 5.165.16.0 - 5.165.23.255 -j ACTION
-m iprange --dst-range 5.165.16.0 - 5.165.23.255 -j ACTION

наверное так,но я никогда так не делал

с маской читать удобнее же

-m iprange --src-range 5.165.16.0 - 5.165.23.255 -j DROP может?
Перейти в начало страницы
 
+Цитировать сообщение
Anarchy
сообщение 14.11.2014, 14:35
Сообщение #6


Люблю дыньки :-)


Группа: Супермодератор
Сообщений: 1 451
Регистрация: 22.8.2011
Из: интырнетоф




Цитата(13Артур13 @ 14.11.2014, 14:29) *
-m iprange --src-range 5.165.16.0 - 5.165.23.255 -j DROP может?

Ну а што написал? (IMG:style_emoticons/default/smile.gif)

то што экшн это дроп или асепт и так ясно)
Перейти в начало страницы
 
+Цитировать сообщение
13Артур13
сообщение 14.11.2014, 14:40
Сообщение #7





Группа: Пользователи
Сообщений: 3 875
Регистрация: 21.9.2009




Цитата(Anarchy @ 14.11.2014, 14:35) *
Ну а што написал? (IMG:style_emoticons/default/smile.gif)

то што экшн это дроп или асепт и так ясно)

ок, спсб. не срастил сразу= )
Перейти в начало страницы
 
+Цитировать сообщение
Anarchy
сообщение 14.11.2014, 14:52
Сообщение #8


Люблю дыньки :-)


Группа: Супермодератор
Сообщений: 1 451
Регистрация: 22.8.2011
Из: интырнетоф




Цитата(13Артур13 @ 14.11.2014, 14:40) *
ок, спсб. не срастил сразу= )

если часто блочишь когот, сделай сет какой нить и сети тула кидай, гораздо проще же.
Перейти в начало страницы
 
+Цитировать сообщение
Silence!
сообщение 14.11.2014, 20:15
Сообщение #9





Группа: Пользователи
Сообщений: 786
Регистрация: 5.7.2008




помоему кто-то тут гуглом на полставки подрабатывает
Перейти в начало страницы
 
+Цитировать сообщение
LU_
сообщение 14.11.2014, 20:38
Сообщение #10


Неизбежное зло форума


Группа: Пользователи
Сообщений: 11 065
Регистрация: 11.7.2011
Из: Антарктиды, где много диких пингвинов




Цитата(Silence! @ 14.11.2014, 20:15) *
помоему кто-то тут гуглом на полставки подрабатывает

а есть такая должность?
какой оклад?
Перейти в начало страницы
 
+Цитировать сообщение
Silence!
сообщение 14.11.2014, 21:22
Сообщение #11





Группа: Пользователи
Сообщений: 786
Регистрация: 5.7.2008




а я знаю?
Перейти в начало страницы
 
+Цитировать сообщение
aleksei123321
сообщение 14.11.2014, 22:36
Сообщение #12





Группа: Пользователи
Сообщений: 5 201
Регистрация: 11.6.2011





заодно пачка спам-диапазонов,)
Цитата
5.255.253.0-5.255.253.255 -j DROP
95.243.0.0-95.243.7.255 -j DROP
95.224.0.0-95.239.255.255 -j DROP
95.247.160.0-95.247.167.255 -j DROP
79.8.128.0-79.8.255.255 -j DROP
87.0.0.0-87.15.255.255 -j DROP
87.16.0.0-87.23.255.255 -j DROP
178.78.0.0-178.78.63.255 -j DROP

там правда 90% итальянцы кажись) и яндекс бот мать его.
Перейти в начало страницы
 
+Цитировать сообщение
LU_
сообщение 14.11.2014, 22:39
Сообщение #13


Неизбежное зло форума


Группа: Пользователи
Сообщений: 11 065
Регистрация: 11.7.2011
Из: Антарктиды, где много диких пингвинов




суров...
Перейти в начало страницы
 
+Цитировать сообщение
rtvrtertvr
сообщение 24.11.2014, 19:17
Сообщение #14





Группа: Пользователи
Сообщений: 2
Регистрация: 24.11.2014




вот значится какая фигня.
iptables -I FORWARD 10 -p tcp -d 192.168.1.33 -m iprange --src-range 95.243.0.0-95.243.7.255 -j DROP
но каким-то образом 95.243.3.85 пролез и пытался спамить.
в консоли написано,что дропнуто 6 пакетов с этого диапазона.
Перейти в начало страницы
 
+Цитировать сообщение
tretevtretfret
сообщение 24.11.2014, 19:29
Сообщение #15





Группа: Пользователи
Сообщений: 1
Регистрация: 24.11.2014




и чя че заметил,Ведь state RELATED,ESTABLISHED должно идти после всех запретов? а оно чета у меня в самом верху почти.
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 25.11.2014, 11:48
Сообщение #16





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Цитата(rtvrtertvr @ 24.11.2014, 19:17) *
95.243.0.0-95.243.7.255


Граждане, не занимайтесь ерундой. Банить подсетями - это идиотизм, только точечно, особо настырных.

Для сервисов, ведущих логи подключений - http://www.fail2ban.org, для не-ведущих - связка из `iptables <...> -m limit -j LOG` и опять же fail2ban.
Перейти в начало страницы
 
+Цитировать сообщение
tyufthyt
сообщение 25.11.2014, 21:36
Сообщение #17





Группа: Пользователи
Сообщений: 2
Регистрация: 24.11.2014




Цитата(mainframe @ 25.11.2014, 11:48) *
Граждане, не занимайтесь ерундой. Банить подсетями - это идиотизм, только точечно, особо настырных.
смысл банит ьип,Если на след. раз ип уже другой из той-же подсети?
Цитата(mainframe @ 25.11.2014, 11:48) *
Для сервисов, ведущих логи подключений - http://www.fail2ban.org, для не-ведущих - связка из `iptables <...> -m limit -j LOG` и опять же fail2ban.
я чета не уверен,что смогу на роутере файл ту бан настроить. (IMG:style_emoticons/default/smile.gif)

Сообщение отредактировал tyufthyt - 25.11.2014, 21:38
Перейти в начало страницы
 
+Цитировать сообщение
LU_
сообщение 25.11.2014, 23:11
Сообщение #18


Неизбежное зло форума


Группа: Пользователи
Сообщений: 11 065
Регистрация: 11.7.2011
Из: Антарктиды, где много диких пингвинов




Цитата(tyufthyt @ 25.11.2014, 21:36) *
я чета не уверен,что смогу на роутере файл ту бан настроить. (IMG:style_emoticons/default/smile.gif)

тут главное поверить в себя....
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 26.11.2014, 9:45
Сообщение #19





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Цитата(tyufthyt @ 25.11.2014, 21:36) *
смысл банит ьип,Если на след. раз ип уже другой из той-же подсети?

А ты как хотел? По паспорту забанить? Повторяю - бан подсети - идиотизм в чистом виде. Есть куча проксей, есть тор, есть копеечные vps на амазоне, с почасовой оплатой. Руби сразу 0/0, чтоб наверняка, а ещё лучше сетевой кабель выдерни.

Цитата(tyufthyt @ 25.11.2014, 21:36) *
я чета не уверен,что смогу на роутере файл ту бан настроить. (IMG:style_emoticons/default/smile.gif)

Вон оно чё выясняется-то, Михалыч. Сервис тоже ...на роутере?
Перейти в начало страницы
 
+Цитировать сообщение
yjrtuve4578346ev...
сообщение 26.11.2014, 23:26
Сообщение #20





Группа: Пользователи
Сообщений: 2
Регистрация: 25.11.2014




Сервис-нет,но можно.
но о5-же ввиду того,что я коренной виндузятник,желания както нет.

Сообщение отредактировал yjrtuve4578346evri - 26.11.2014, 23:36
Перейти в начало страницы
 
+Цитировать сообщение
13Артур13
сообщение 27.11.2014, 20:02
Сообщение #21





Группа: Пользователи
Сообщений: 3 875
Регистрация: 21.9.2009




Цитата(mainframe @ 26.11.2014, 9:45) *
А ты как хотел? По паспорту забанить? Повторяю - бан подсети - идиотизм в чистом виде. Есть куча проксей, есть тор, есть копеечные vps на амазоне, с почасовой оплатой. Руби сразу 0/0, чтоб наверняка, а ещё лучше сетевой кабель выдерни.

ТОР не панацея. он хоть и юзает прокси. но их число не бесконечно и часто повторяеться, причем вырубая этот пулпроксей, пользователи тора остаються в (_._)
И я не блокируюцелый пулнапример 5.0.0.0/8 я вырезаю именно того провайдера иликомпанию. которая делает возможным и доступным проксировать и т.д.
Очень хорошо вырезать именно пул тех айпи, который не хотят контролировать или специально выкупили для таких игр... работает на ботов и прочую фигню...

Цитата(yjrtuve4578346evri @ 26.11.2014, 23:26) *
Сервис-нет,но можно.
но о5-же ввиду того,что я коренной виндузятник,желания както нет.

Для домашнего компа вообще нет прикола кого-то банить...

Сообщение отредактировал 13Артур13 - 27.11.2014, 20:06
Перейти в начало страницы
 
+Цитировать сообщение
rtrsetvh3453t
сообщение 27.11.2014, 21:52
Сообщение #22





Группа: Пользователи
Сообщений: 6
Регистрация: 27.11.2014




Цитата(13Артур13 @ 27.11.2014, 20:02) *
Для домашнего компа вообще нет прикола кого-то банить...
(IMG:style_emoticons/default/facepalm.gif)
Перейти в начало страницы
 
+Цитировать сообщение
mainframe
сообщение 28.11.2014, 9:08
Сообщение #23





Группа: Пользователи
Сообщений: 245
Регистрация: 2.9.2010
Из: Владивосток




Цитата(13Артур13 @ 27.11.2014, 20:02) *
И я не блокируюцелый пулнапример 5.0.0.0/8 я вырезаю именно того провайдера иликомпанию. которая делает возможным и доступным проксировать и т.д.


Могу только пожелать тебе пару раз вытащить почтовик из листов спамхауса. Незабываемый опыт. Это тоже больши-ие любители выборочно банить подсетями, в том числе отдельные AS,
Перейти в начало страницы
 
+Цитировать сообщение
13Артур13
сообщение 28.11.2014, 14:46
Сообщение #24





Группа: Пользователи
Сообщений: 3 875
Регистрация: 21.9.2009




Цитата(mainframe @ 28.11.2014, 9:08) *
Могу только пожелать тебе пару раз вытащить почтовик из листов спамхауса. Незабываемый опыт. Это тоже больши-ие любители выборочно банить подсетями, в том числе отдельные AS,

Потому,что они даже не проверяют, а просто заносят в него возможные айпи, например любого провайдера интернета... там тупая система. да и дорого вытаскивать, да и нет гарантии, что завтра он там окажется опять... но я щас не про почту даже, а про ботов долбящих и перебирающих пароли на автомате, и прочий мусор, на самом деле не так много сервисов кто позволяет такой бес предел.... которые поддерживают яву и т.д. так,что простые атаки и ботов можно на время или на всегда похоронить... к тому же они автономные в большинстве случаях и хозяин и не узнает об их обломе...

Цитата(rtrsetvh3453t @ 27.11.2014, 21:52) *

Сервер на виндоузе? (IMG:style_emoticons/default/facepalm.gif)
Перейти в начало страницы
 
+Цитировать сообщение
LolKo
сообщение 29.10.2015, 17:21
Сообщение #25





Группа: Пользователи
Сообщений: 97
Регистрация: 8.12.2008




Цитата
-p tcp -d 192.168.1.33 -s 95.238.0.0/15 -j DROP

так я и не догнал,что не так с этим iptables-ом или с правилами . в правиле указано дропать все ,что из 95.238.0.0/15. смотрю в консоли,и он дропает конкретно по этой подсети,но дропнуто всего оттуда 4 пакета и спам из этой подсети все равно доходит до меня. ну и не именно в этой подсети дело,из других тоже малост ьпролазиет, и так-же пишет что дропается

Сообщение отредактировал LolKo - 29.10.2015, 17:29
Перейти в начало страницы
 
+Цитировать сообщение
Silence!
сообщение 29.10.2015, 21:14
Сообщение #26





Группа: Пользователи
Сообщений: 786
Регистрация: 5.7.2008




что за спам? как определяешь что он до тебя доходит?
Перейти в начало страницы
 
+Цитировать сообщение
LolKo
сообщение 29.10.2015, 21:22
Сообщение #27





Группа: Пользователи
Сообщений: 97
Регистрация: 8.12.2008




итальянские хабоводы через своих юзеров рассылают спам.
Перейти в начало страницы
 
+Цитировать сообщение
LolKo
сообщение 8.11.2015, 20:54
Сообщение #28





Группа: Пользователи
Сообщений: 97
Регистрация: 8.12.2008




быть может кто-то сможет мне рассказать,как в ipset добавить много подсетей? дело в том что если добавляю 1-2 подсети то потом -все-пишет типа нету больше места для остльных,
увеличивал размеры но както не помогло.
нашел такую конструкцию
Код
ipset -N geoblock nethash
for IP in $(wget -O – http://www.ipdeny.com/ipblocks/data/countries/{cn,kr,pk,tw,sg,hk,pe}.zone)
do
ipset -A geoblock $IP
done
iptables -A INPUT -m set –set geoblock src -j DROP

но мне кажется что эта фигня-не едет, хотя-б потому что правило для iptables я ненаблюдаю в выполняющейся цепочке INPUT

Сообщение отредактировал LolKo - 8.11.2015, 21:11
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Для

Тема
Сообщение
Текстовая версия Сейчас: 3.4.2020, 8:26