Всем привет, спасибо за интерес к теме!
Итак суть проблемы: есть так называемые BOGUS-сети(хороший список таких сетей находится здесь: http://www.911networks.com//pages/internet/firewall/bogus-ip-addresses-class-...) - т.е. несуществующие сети диапазоны IP адресов которых либо ещё не выданы либо зарезервированы для каких-то целей. Каким-то непонятным мне образом кулхацкеры пытаются ломиться из этих сетей на веб-сервер. При взломе/спаме/DOSе из таких сетей некому выкатывать претензии поскольку эти сети не существуют, а значит не существуют и их администраторы :)
Скажите пожалуйста имеет ли смысл настраивать Firewall(iptables) так, чтобы блокировать все пакеты из этих сетей и насколько велик масштаб проблемы? Если да, то следующий вопрос: Как это сделать оптимальным образом?
Я так понимаю, что как минимум нужно делить список указанный выше на некоторое кол-во цепочек поскольку пропускать пакет через фильтр по всему списку(http://www.911networks.com//pages/internet/firewall/bogus-ip-addresses-class-...) для посещаемого ресурса просто нереально, поскольку сервер в этом случае умрёт ещё на этапе фильтрации пакетов и никакой DOS ему уже будет не нужен :)))
Я делаю нечто вида:
-----------------------------------------
#Bogus in 60.0.0.0/8
iptables -N bogus_chain_60
iptables -A bogus_chain_60 -m iprange --src-range 60.249.0.0-60.252.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.241.0.0-60.243.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.205.0.0-60.207.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.238.0.0-60.239.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.199.0.0-60.199.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.235.0.0-60.235.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.247.0.0-60.247.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.253.64.0-60.253.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.245.64.0-60.245.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.244.128.0-60.244.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.62.144.0-60.62.255.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.13.64.0-60.13.127.255 -j REJECT
iptables -A bogus_chain_60 -m iprange --src-range 60.254.192.0-60.254.255.255 -j REJECT
iptables -N bogus_chain
iptables -A bogus_chain --src 60.0.0.0/8 -j bogus_chain_60
iptables -A INPUT -p tcp --dport 80 -j bogus_chain
-----------------------------------------------------
В итоге получается куча цепочек вместо одной большой INPUT, фильтр проверяет пришедшие пакеты на принадлежность к существующим сетям только при условии, что пакет пришёл на существующий сервис типа 80(Apache) все пакеты пришедшие на несуществующие сервисы сразу идут лесом :)
И ещё вопрос знатокам - насколько тяжела операция прыжка на другую цепочку по сравнению с операцией провеки попадания IP адреса в требуемый диапазон? На практике это означает примерно следующее: Какое кол-во условий типа:
"-A bogus_chain_60 -m iprange --src-range 60.245.64.0-60.245.255.255 -j REJECT"
имеет смысл выносить в отдельную цепочку с целью повысить производительность фильтра?
Ответ на:
комментарий
от Cosmicman
Ответ на:
комментарий
от anonymous
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.