[vpsFree.cz: community-list] blokování přístupu na SSH z určitých zemí
Petr Tesařík
vps at tesarici.cz
Tue Jan 28 15:58:14 CET 2014
On Tue, 28 Jan 2014 15:36:51 +0100
Petr Barta <Petr.Barta at netas.cz> wrote:
> Pardon, prelidnul jsem ze je to v mysql... V tom pripade asi vytahnout
> sql dotazem tenhle list z databaze, a poslat ho do nejakeho takoveho
> skriptu...
>
> Petr
>
> Dne 28.1.2014 15:34, Petr Barta napsal(a):
> > Dne 28.1.2014 15:29, Petr Parolek napsal(a):
> >> jde mi o to, jak seznam nasypat do iptables, mám i kvůli webu v mysql
> >> seznam ip adres podle států, ale jde mi ted o iptables.
> >>
> >
> > A v jake podobe ten list je? Pokud neco jako
> >
> > xxx.yyy.zzz.0/AA
> > aaa.bbb.ccc.0/DD
> > ...
> > ...
> > qqq.www.eee.0/PP
> >
> > asi neni nic jednodussiho (teda, syntaxe by asi sla zjednodusit ;-) ) nez
> >
> > while read LINE ; do iptables -I INPUT -s $LINE -p tcp --dport ssh -j
> > DROP; done
Pokud je těch rozsahů opravdu hodně a ten server je aspoň trochu
vytížený, tak to není úplně ono. Přinejmenším to budeš chtít dát do
jiného chainu a ten prohledávat, jenom když --dport ssh .
Ideálně bys chtěl použít modul geoip, přibližně takto:
iptables -A INPUT -m geoip ! --src-cc CZ -j DROP
Myslím ale, že se tu před časem řešilo, že tenhle modul ve VPS
nefunguje. Zná někdo technické detaily?
Petr T
More information about the Community-list
mailing list