[vpsFree.cz: community-list] blokování přístupu na SSH z určitých zemí
Tomáš Vařil
tomas.varil at gmail.com
Tue Jan 28 16:14:45 CET 2014
Na OpenVZ "iptables -A INPUT -m geoip ! --src-cc CZ -j DROP" opravdu nejde :-( řešil jsem to právě kdysi se snajpou.
Každopádně ta změna toho portu mně pomohla 100% a od tý doby mám klid...alespoň zatím...
Tady je zajímavej článek (sice trochu zastaralej), ale hodně mně toho dal, alespoň co se týče pochopení jak iptables funguje a metod jak co logovat a následně bokovat.
http://www.pettingers.org/code/firewall.html
T.
-----Original Message-----
From: community-list-bounces at lists.vpsfree.cz [mailto:community-list-bounces at lists.vpsfree.cz] On Behalf Of Petr Tesařík
Sent: Tuesday, January 28, 2014 3:58 PM
To: community-list at lists.vpsfree.cz
Subject: Re: [vpsFree.cz: community-list] blokování přístupu na SSH z určitých zemí
On Tue, 28 Jan 2014 15:36:51 +0100
Petr Barta <Petr.Barta at netas.cz> wrote:
> Pardon, prelidnul jsem ze je to v mysql... V tom pripade asi vytahnout
> sql dotazem tenhle list z databaze, a poslat ho do nejakeho takoveho
> skriptu...
>
> Petr
>
> Dne 28.1.2014 15:34, Petr Barta napsal(a):
> > Dne 28.1.2014 15:29, Petr Parolek napsal(a):
> >> jde mi o to, jak seznam nasypat do iptables, mám i kvůli webu v
> >> mysql seznam ip adres podle států, ale jde mi ted o iptables.
> >>
> >
> > A v jake podobe ten list je? Pokud neco jako
> >
> > xxx.yyy.zzz.0/AA
> > aaa.bbb.ccc.0/DD
> > ...
> > ...
> > qqq.www.eee.0/PP
> >
> > asi neni nic jednodussiho (teda, syntaxe by asi sla zjednodusit ;-)
> > ) nez
> >
> > while read LINE ; do iptables -I INPUT -s $LINE -p tcp --dport ssh
> > -j DROP; done
Pokud je těch rozsahů opravdu hodně a ten server je aspoň trochu vytížený, tak to není úplně ono. Přinejmenším to budeš chtít dát do jiného chainu a ten prohledávat, jenom když --dport ssh .
Ideálně bys chtěl použít modul geoip, přibližně takto:
iptables -A INPUT -m geoip ! --src-cc CZ -j DROP
Myslím ale, že se tu před časem řešilo, že tenhle modul ve VPS nefunguje. Zná někdo technické detaily?
Petr T
_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
More information about the Community-list
mailing list