iptables

Без имени, 427 просмотров

Ребят, привет, подскажите пожалуйста У меня пока только теоретические познания. Столкнулся с такой проблемой 1 ресурс тупо копирует контент с моего сайта, я вычислил все ip адреса с которого эти негодяи заходят, теперь хочу заблочить им доступ через iptables.

У меня на расурсе стоит ламповая сборка хостера, но я не разу не работал с iptables, скажите, для того чтобы заблочить доступ нужно ли производить дополнительные настройки или можно сразу внести и это будет работать?

Нашел такую информацию:

iptables -A INPUT -s 111.111.111.111 -j DROP то есть нужно поменять только 111... на нужный ip и все? Правильная ли таблица INPUT?

Другими словами мне нужно чтобы вы мне подсказали команду, после которой условия блокировки доступа будут выполнятся. Большое спасибо за помощь!

Примечание:
Про .htaccess знаю, но эта зараза еще и в закрытые дир пытается попасть судя по error.log'у апача, так что лучше думаю будет полностью им изолировать доступ.

Ответы:

Dimon Panik

.htaccess лучше
Вновь, .htaccess - это идеальное средство для этого. В коде, представленном ниже, мы блокируем различные придуманные IP-адреса и подсети (.htaccess должен находиться в корне сайта, либо в директории, к которой Вы хотите подключить данные блокировки):
<Limit GET POST>
order allow,deny
deny from 15.29.29.12
deny from 13.110.145.
deny from 21.173.
allow from all
</Limit>
Немножко поясню данный код. Строка "deny from 15.29.29.12" - блокирует конкретный IP-адрес. А вот следующая строка: "deny from 13.110.145." - блокирует уже целую подсеть с диапазоном адресов: "13.110.145.0 - 13.110.145.255". И, наконец, последняя блокировка: "deny from 21.173.", - блокирует ещё более широкий диапазон IP-адресов: "21.173.0.0 - 21.173.255.255".

*filter:FORWARD ACCEPT [0:0]:INPUT ACCEPT [0:0]:OUTPUT ACCEPT [0:0]# Закрываемся от кривого icmp-I INPUT -p icmp -f -j DROP#права для самого сервера.-A INPUT -i lo -j ACCEPT-A OUTPUT -o lo -j ACCEPT# Пропуск

держи с комментами. Думаю под себя поправишь

ping

iptables -A INPUT -s 111.111.111.111 -j DROP
да, всё верно. вводи и будет счастье, при условии, что в таблице нет на данный момент других правил, которые явно разрешат то, что ты запрещаешь.

Ленивец

Если нужно заблокировать ip-адрес 10.2.57.9:
# iptables -I INPUT -s 10.2.57.9 -j DROP

Ленивец

> .htaccess лучше
Ага, решать проблему на пятом уровне лучше, чем на первом...

InnaZ

Если это совсем конченные негодяи - они зайдут с другого ip :)

Ленивец

> Если это совсем конченные негодяи - они зайдут с другого ip
Да, но блокировать фаерволом лучше. Это не даст навредить системе если это "конченные негодяи". А пока он проходит через сервер хрен знает, что он там может сделать. Может уязвимость эксплуатирует? По этому при первом подозрении блокировать нахрен фаерволом.

Web

Iptables в примерах.

12 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.