Chặn phạm vi địa chỉ IP

48

Tôi đang bị bắn phá với những vụ hack từ Trung Quốc với các IP tương tự.

Làm cách nào để chặn phạm vi IP bằng thứ gì đó như 116.10.191. * Vv

Tôi đang chạy Ubuntu Server 13.10.

Dòng hiện tại tôi đang sử dụng là:

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

Điều này chỉ cho phép tôi chặn từng người một nhưng các tin tặc đang thay đổi IP mỗi lần thử.

— Stephen Cioffi
nguồn

4

bạn nên xem fail2ban, nó thực sự tốt trong việc cấm động các địa chỉ IP phiền toái.

— user9517 hỗ trợ GoFundMonica

Tôi cũng muốn thêm gõ để loại bỏ gần như 100% các lần truy cập không thành công khỏi nhật ký của tôi. help.ubfox.com/community/PortKnocking

— Bruno Bronosky

pam_shield có thể giúp đỡ ở đây. github.com/jtniehof/pam_shield

— Daniel

86

Để chặn địa chỉ 116.10.191. *:

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

Để chặn địa chỉ 116.10. *. *:

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

Để chặn địa chỉ 116. *. *. *:

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

Nhưng hãy cẩn thận những gì bạn chặn bằng cách sử dụng phương pháp này. Bạn không muốn ngăn chặn lưu lượng truy cập hợp pháp tiếp cận máy chủ.

chỉnh sửa : như đã chỉ ra, iptables đánh giá các quy tắc theo thứ tự liên tiếp. Các quy tắc cao hơn trong quy tắc được áp dụng trước các quy tắc thấp hơn trong quy tắc. Vì vậy, nếu có một quy tắc cao hơn trong quy tắc của bạn cho phép lưu lượng truy cập đã nói, thì việc thêm ( iptables -A) quy tắc DROP sẽ không tạo ra kết quả chặn dự định. Trong trường hợp này, chèn ( iptables -I) quy tắc:

như quy tắc đầu tiên

sudo iptables -I ...

hoặc trước quy tắc cho phép

sudo iptables --line-numbers -vnL

nói rằng hiển thị quy tắc số 3 cho phép lưu lượng ssh và bạn muốn chặn ssh cho một phạm vi ip. -Ilấy một đối số của một số nguyên đó là vị trí trong bộ quy tắc của bạn, bạn muốn chèn quy tắc mới

iptables -I 2 ...

— Lạch nhỏ
nguồn

Kiểm tra arin.net và chặn toàn bộ phạm vi ip thuộc sở hữu của Amsterdam . Nơi đó là RIPE với các con nhện thăm dò - tôi nghi ngờ có bất kỳ lưu lượng truy cập hợp pháp nào ra khỏi đó.

— WEBjuju

lưu ý rằng điều này có thể không hoạt động tùy thuộc vào thứ tự của các quy tắc iptable , xem câu trả lời serverfault.com/a/507502/1

— Jeff Atwood

2

o snap @JeffAtwood Tôi vinh dự nhận xét của bạn. câu trả lời được cập nhật;)

— Lạch

Và làm thế nào để bạn bỏ chặn một phạm vi nhất định?

— bzero

11

sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

Điều này chặn phạm vi. Bạn có thể mở rộng mạng con khi cần với cùng định dạng chung.

— Nathan C
nguồn

điều này sẽ làm việc trên toàn bộ phạm vi thiết lập thứ 4? Thích là 0/24 chỉ 0-24. Tôi đã thử ví dụ 500 nhưng không được. 0/24 sẽ bao gồm tất cả những con số khác trong thập niên 100 và 200

— Stephen Cioffi

3

@Stephen Đó là một phạm vi CIDR. Nếu bạn cần tính toán nó cho một phạm vi khác, hãy sử dụng điều này: subnet-calculator.com/cidr.php

— Nathan C

4

Là một cách tiếp cận khác, bạn có thể sử dụng một cái gì đó đơn giản như fail2ban. Nó tạo ra thời gian chờ cho các lần đăng nhập thất bại liên tiếp và khiến cho việc tàn phá không thể thực hiện được vì họ chỉ nhận được một vài cơ hội cho mỗi lần hết thời gian. Tôi đặt thời gian ra là 30 phút. Vào lúc họ ở một hoặc hai giờ, họ nhận ra rằng họ sẽ không thể thực hiện bất kỳ bước tiến nào và bỏ cuộc.

— temet
nguồn

Ngoài ra, chặn toàn bộ các quốc gia có thể ức chế sử dụng được ủy quyền.

— Esa Jokinen

Tôi nhận ra chủ đề này đã hơn một năm tuổi nhưng tôi muốn cho mọi người biết điều gì đó. Tôi đã cài đặt và chạy fail2ban nhưng tôi cũng thường xuyên kiểm tra nhật ký máy chủ của mình. Có dải IP này 89.248.x.xtiếp tục thử các lần đăng nhập email khác nhau sau khoảng một giờ kể từ lần thử cuối cùng, trong suốt cả ngày. Rõ ràng việc giữ findtimefail2ban ở mức 30 phút không còn đủ để loại bỏ mọi kịch bản khó chịu.

— Tanzaniaeel Kazi