Блокирование ip адреса при помощи iptables

Рады приветствовать Вас!

К Вашим услугам - качественный товар различных ценовых категорий.

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Наши контакты:

Telegram:

https://t.me/happystuff

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

Однажды мне понадобилось ограничить доступ к серверу по ip на основе стран. Я решил это сделать после того, как на этот сайт началось непонятное мне нашествие ботов. Шли они со всего мира и создавали хоть и не существенную, но нагрузку на сервер. Из спортивного интереса хотел их отсечь и искал средства, чтобы сделать это максимально эффективно. Ниже расскажу, как я в итоге настроил ограничение доступа к своему веб серверу на основе списка ip по странам. Я заметил подозрительную активность на сайте. Заходили какие-то боты, немного скролили и тыкали по ссылкам. Кто и зачем направил их на мой сайт мне было не понятно. Ничего плохого, по сути, они не делали, просто нарушали подсчет статистики, искажая реальную картину. Я быстро прикинул по статистике сайта, с каких стран в основном ко мне заходят люди. Боты же лезли со всего мира. Забегаю вперед скажу, что это дало очень хороший результат, отсеяв почти всех нежелательных посетителей. Есть разные способы решить данную задачу. Не стал его реализовывать по 2-м причинам:. В итоге решил блокировать ботов с помощью iptables. Если у вас он не настроен, можете воспользоваться моей статьей — настройка iptables. Первое, что пришло в голову, это вручную добавить полный список ip адресов конкретной страны. Я взял список адресов одной страны и загнал его в свой скрипт для iptables, о котором рассказано в моей статье. Запуск скрипта с добавленным списком огромного количество ip адресов и диапазонов длился секунд Сейчас уже точно не помню, какую страну взял, если не ошибаюсь, то список был на несколько тысяч строк. Я понял, что так дело не пойдет, но все же решил попробовать добавить еще одну страну. После запуска скрипта сервер просто завис. Перестал отвечать на запросы, по ssh меня отключило. Пошел в консоль и перезагрузил сервер. Я понял, что просто в лоб нельзя в iptables загнать большие списки. Стал искать другой способ, как реализовать ограничение доступа к серверу на основе большого списка правил. Решение было найдено — ipset. Ipset представляет из себя модуль ядра и утилиту для настройки, поэтому работает все быстро и переваривает огромные списки правил. В iptables при этом добавляется только одно правило. Дальше я расскажу, как установить и настроить ipset. Работать будем на сервере CentOS 7. В других дистрибутивах никаких отличий не будет, за исключением установки и запуска модуля ядра. Сначала я пошел по первому пути и стал вычислять страны, с которых приходит больше всего ботов и блокировать их. Потом я понял, что это не очень эффективно с точки зрения затраты времени. Список подходящих мне стран гораздо меньше, чем список нежелательных. Так что я пошел по другому пути и запретил доступ всем, кроме некоторых стран. Я расскажу дальше для примера оба способа. Технически они ничем не отличаются, просто разный подход. Итак, у нас есть список ip адресов и подсетей, разделенных по странам. Списки очень большие, руками их обрабатывать не получится. Мы это дело автоматизируем, а пока пройдемся по теории. Разберемся с управлением списками в ipset. Для начала создадим список и назовем его — blacklist. В данном случае это набор данных адресов подсетей. Именно в виде набора подсетей выглядят списки доступа стран по ip. Если у вас есть список ip адресов, то тип данных будет iphash. Более подробно о типах данных можно посмотреть в документации. Обращаю внимание на выделенные строки. Когда я создавал список стран для блокировки, он получился очень большой и не помещался весь в объект с дефолтными настройками. Их можно изменить таким образом:. Обратите внимание на занимаемую память. На маленьком VPS это может стать проблемой. В том числе из этих соображений я решил перейти к белому списку. Он существенно меньше, соответственно, меньше ресурсов тратится на его обработку. Список мы создали, теперь его надо подключить в iptables. Для этого добавляем правило блокировки. Все в порядке, правило добавили. Следите, чтобы запрещающее правило было первым и лишние подключения отваливались сразу. Давайте теперь на примере посмотрим, как организовать белый список. Создаем правило в iptables, по которому к нашему серверу будут иметь доступ только адреса из списка. Сначала у меня стояли вот эти два правила, которые разрешают доступ к веб серверу всем. Принцип работы ipset рассмотрели. Теперь автоматизируем все и создадим полный список ip адресов по странам, которым будет разрешен доступ к сайту. Я для этого написал простенький скрипт. Привожу его с комментариями. Запускаете скрипт, он скачивает и объединяет списки нужных вам стран, затем добавляет их в ipnet и в конце делает экспорт в файл. Посмотрите на этот файл. Список в нем должен совпадать с исходным списком, плюс несколько информационных строк в самом начале. Если вы добавили правила в iptables, ограничение доступа по ip уже начало работать. Я проверил на своем сайте. Способ простой и очень эффективный. Все лишние боты отваливаются на моменте подключения к серверу. Не нагружают сервер и не портят статистику. Если кто-то знает еще эффективные способы борьбы с нежелательными посетителями, прошу поделиться в комментариях. Когда нашествие ботов прекратилось, запреты убрал. Этот способ хорош только как временная мера. Постоянно его нельзя использовать, так как часть пользователей все же не сможет попасть к вам на сайт. Но если у вас какой-то специфичный сервис, к которому точно не нужен доступ, к примеру, из Китая, можете воспользоваться описанным мной методом. Полезную информацию по защите сайта от ботов можно посмотреть в моих статьях на тему настройки fail2ban:. Обзор основных возможностей и рекомендации по настройке. Размышления на тему выбора почтового сервера для малых и средних компаний. Как всегда отличная статья, но хотелось бы этот же вариант увидеть в применения к firewalld Centos7 , хотя бы через костыли. Тут и без костылей все работать будет. Это же штатные правила для iptables. Я firewalld не использую, поэтому не знаю синтаксис написания правил. Надо просто посмотреть документацию. Гугл тут же выдал ответ — http: Можно прям через него их создавать и редактировать. Хотя конкретно в данном случае это не нужно, так как список создает скрипт. Не подскажите, как быть, после перезагрузки сервера, приходится заново запускать скрипт создания списка, иначе ipables начинает ругаться, в скрипт вставить выполнение скрипта с созданием списка адресов ipset? Если вставить скрипт в скрипт долго ждать, пока создаст список адресов, а потом правила фаэрвола применяться. Не слышал о таком, но спасибо за информацию, я посмотрю. Тут главный вопрос будет к быстродействию и занимаемым ресурсам. При блокировке по странам вопрос именно в этом, так как список IP получается огромный и в чистом виде iptables не может с ним нормально работать. Я использовал популярное и проверенное решение Ipset, которое гарантированно работает быстро и не занимает много ресурсов. Пожалуйста, разрешите JavaScript чтобы отправить эту форму. Подписка на новые комментарии: Не отправлять уведомлений Отправить уведомление только при ответе на мой комментарий Отправить уведомление при появлении любого комментария. Блокировка доступа к web серверу по странам с помощью iptables Обновлено: Не забывайте важный момент — чтобы у вас белый список работал, у вас должен весь трафик, который не разрешен явно, блокироваться. Подробнее о настройке iptables читайте мою статью, о которой я говорил ранее. Установка Базовая настройка Настройка времени Настройка сети Настройка репозиториев Настройка iptables Установка CentOS 7 в конфигурации minimal или netinstall с загрузочной флешки или по сети на диск или raid раздел. Базовая настройка CentOS 7 для работы с любым функционалом. Приведены практические советы по улучшению безопасности и удобства администрирования. Как установить точное время на сервере CentOS , настроить часовой пояс, синхронизировать время с помощью ntpdate и ntpd и другое. Подробное описание настройки сети в CentOS 7 - задать ip адрес, dhcp, отключить ipv6, dns, hostname, статические маршруты и др. Установка репозиториев epel, rpmforge и др. Добавление, удаление, обновление rpm репозиториев в CentOS. Рассмотрены основные моменты настройки iptables в Centos 7 - установка, добавление правил, проброс портов, nat, логирование и д. Простая и быстрая настройка шлюза на базе CentOS 7 для организации доступа в интернет из локальной сети. Описание установки и настройки asterisk - популярной современной sip атс. Подробное описание установки voip сервера asterisk и панели управления freepbx на CentOS 7. Настройка web сервера CentOS 7 на базе связки http сервера apache, php и сервера db mysql, или коротко - установка lamp. Установка и настройка высокопроизводительного web сервера на базе nginx и php fpm. В качестве кэша используется APC. Подробное описание установки и настройки панели управления phpmyadmin на веб сервер apache и nginx под управлением Centos 7. Подробное описание установки и настройки Webmin на CentOS 7 для удаленного подключения и управления сервером. Подробное описание установки языка Ruby последней версии на веб сервер под управлением CentOS 7. Подробное описание установки или обновления php 7 на CentOS 7. Рассмотрен вариант отката обновления и возврата на php 5. Подробное описание с видео установки и настройки ftp сервера vsftpd , примеры с локальными и виртуальные пользователями в mysql. Рассмотрены наиболее популярные конфигурации, в том числе подробное логирование. Инструкция по установке и настройке сервера мониторинга Observium на CentOS 7. В качестве примера в конце добавлено одно устройство для мониторинга. Настройка сервера для централизованного сбора логов с удаленных устройств и серверов с помощью программы syslog-ng. Настройка ssl в Apache Бэкап с помощью rsync Настройка работы веб сервера apache с виртуальными хостами по протоколу https с использованием бесплатного ssl сертификата. Подробное описание настройки бэкапа с помощью rsync на примере скрипта инкрементного архива на системе Centos, Debian, Ubuntu, Windows. Добавить комментарий Отменить ответ Ваш e-mail не будет опубликован. Рекомендую полезные материалы по CentOS: Установка и настройка OpenVPN сервера на CentOS для объединения офисов и подключения удаленных пользователей Настройка web сервера CentOS 7 на базе связки http сервера apache, php и сервера db mysql, или коротко - установка lamp.

Купить MDMA Актобе