Где лучше всего блокировать нежелательные IP-адреса?

Тема в разделе "Администрирование серверов", создана пользователем verfaa, 17 май 2013.

Модераторы: mefish, stooper
  1. verfaa

    verfaa

    Регистр.:
    29 янв 2007
    Сообщения:
    375
    Симпатии:
    41
    Возникла необходимость поблочить подсети IP-адресов некоторых африканских стран.
    И возник вопрос где это лучше всего сделать?

    1. named.conf
    пишем acl "fakeips" {
    # 0.0.0.0/8;
    };

    Затем в options {
    blackhole { fakeips; };
    }

    2. В файле hosts.deny

    3. В nginx.conf

    4. Ваш вариант

    И как правильно в этих файлах подсети опысывать?
    Допустим, мне нужно забанить IP http://whois.domaintools.com/41.83.243.102
    Искомая подсеть или диапазон IP это parent: 41.82.0.0 - 41.83.255.255 ?

    И как мне теперь одним махом заблочить все эти IP на сервере?

    И ещё, где лучше всего смотреть информацию о IP? Сайту whois.domaintools.com можно доверять?
     
  2. StrikeOFF

    StrikeOFF ♥kan inte lyfta utan lift♥

    Регистр.:
    20 мар 2010
    Сообщения:
    362
    Симпатии:
    200
    лучше в iptables
     
    Цукер и verfaa нравится это.
  3. ne4to

    ne4to Постоялец

    Регистр.:
    16 ноя 2012
    Сообщения:
    107
    Симпатии:
    50
    если только вэб то nginx + geoip вполне
    если надо все то iptables + geoip
     
    verfaa нравится это.
  4. verfaa

    verfaa

    Регистр.:
    29 янв 2007
    Сообщения:
    375
    Симпатии:
    41
    А под "geoip" что имеется ввиду? Нужно ещё в каком-то дополнительном файле IP прописывать?
     
  5. ZM2007

    ZM2007

    Регистр.:
    16 окт 2007
    Сообщения:
    188
    Симпатии:
    82
    А google отменили уже?? по запросу "iptables+geoip" читайте:

     
    verfaa нравится это.
  6. Ilnarik

    Ilnarik Создатель

    Регистр.:
    13 ноя 2009
    Сообщения:
    26
    Симпатии:
    5
    Боролся как то с данной проблемой, запарился добавлять в бан ip массивы, решил просто открыть доступ для рунета ну и гугла), все делал через iptables, если нужно более подробно опиши полностью свой хост, сервер, vds...
    п.с. нагрузка на сервер упала в разы, нет спама и взломов...
     
    verfaa нравится это.
  7. jsmax

    jsmax Писатель

    Регистр.:
    9 апр 2012
    Сообщения:
    6
    Симпатии:
    1
    verfaa нравится это.
  8. Ilnarik

    Ilnarik Создатель

    Регистр.:
    13 ноя 2009
    Сообщения:
    26
    Симпатии:
    5
    При данном типе блокировки нагрузку будет терпеть Аппачь - веб сервер, логичней заблочить по портам - ну это конечно если у вас VDS.
     
  9. jsmax

    jsmax Писатель

    Регистр.:
    9 апр 2012
    Сообщения:
    6
    Симпатии:
    1
    Про Апачи никто и не говорил.
    Список сетей можно скормить iptables.
     
  10. Kenny

    Kenny newbie

    Регистр.:
    17 авг 2006
    Сообщения:
    462
    Симпатии:
    147
    NET1="41.82.0.0/16"
    NET2="41.83.0.0/16"

    iptables -A INPUT -s $NET1 -j DROP
    iptables -A INPUT -s $NET2 -j DROP

    или, если нужно только apache, nginx, то
    iptables -A INPUT -s $NET1 -p tcp --dport 80 -j DROP
    iptables -A INPUT -s $NET2 -p tcp --dport 80 -j DROP
    iptables -A INPUT -s $NET1 -p tcp --dport 8080 -j DROP
    iptables -A INPUT -s $NET2 -p tcp --dport 8080 -j DROP