LINUX.ORG.RU
ФорумAdmin

Iptables real ip

 ,


0

1

Hello there. У меня такой вопрос. Каким образом можно вытащить реальный IP клиента с помощью Iptables? Описываю ситуацию. На мои сервера довольно часто совершаются атаки. В качестве мер защиты я приклеил модули geoip, с помощью которого фильтрую трафик с левых стран, connlimit, ipset, настроил стеки и веб-сервер. Я модифицировал логирование nginx и мне повезло - атакующий засветил свой реальный ИП, который я вытащил через forwarded for. Я пожаловался хостеру его и его заабузили. После этого началась куча других атак. Я отказался обрабатывать udp и icmp вообще, а также пакеты, поступающие на все порты, кроме 80-го (исключая локалхост и мою локальную сеть). В итоге 512мбайтный сервер выдерживал довольно мощные атаки, но очень засоряется канал. Я думаю, если я буду всегда жаловаться, им вконец это надоест, один за другим терять сервера. Но логика атаки меняется - теперь уже это не http флуд, а tcp, udp и так далее. Предположим, я точно знаю, что трафик идет с прозрачных проксей. Каким образом я могу вытащить реальный ИП (при наличии такогово) из запросов? Пал взгляд на модуль string, но не нашел, чтобы кто-то его использовал для таких целей.

прозрачный прокси != открытый прокси.

Ты хочешь выявить открытые прокси и забанить их?

ЗЫ Поиск по регекспам в tcp-потоке реализован в l7filter

vel ★★★★★ ()

В общем случае прокси не сохраняют исходный IP источника. HTTP заголовок X-Forworded-for и ему подобные это не обязательная особенность именно http проксей. Так-что если атакующий использует не http прокси то узнать адрес с которого исходный пакет пришёл на проксю можно только по логам этой прокси.

Можно например писать абузы владельцам проксей и их провайдерам.

MrClon ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.