Назад | Перейти на главную страницу

Блокировать большое количество IP-адресов

Я запускаю сервер centos с WHM и Cpanel и использую CSF в качестве брандмауэра. Я хочу заблокировать целый ряд IP-адресов.

Я хотел начать с Китая и получил список IP от http://www.countryipblocks.net/ - это около 3500 IP-адресов / диапазонов.

Используя CSF, я заметил, что по умолчанию для DENY_IP_LIMIT установлено значение 100. Я, очевидно, могу увеличить это, но CSF утверждает:

# Limit the number of IP's kept in the /etc/csf/csf.deny file. This can be
# important as a large number of IP addresses create a large number of iptables
# rules (4 times the number of IP's) which can cause problems on some systems
# where either the the number of iptables entries has been limited (esp VPS's)
# or where resources are limited. This can result in slow network performance,
# or, in the case of iptables entry limits, can prevent your server from
# booting as not all the required iptables chain settings will be correctly
# configured.

Итак, 3500 - это БОЛЬШОЕ увеличение по сравнению с 100. Стоит ли мне беспокоиться, и если да, то есть ли другие альтернативы?

CSF может самостоятельно блокировать страны из файла конфигурации:

##############################################################################
# SECTION:Country Code Lists and Settings
###############################################################################
# Country Code to CIDR allow/deny. In the following two options you can allow
# or deny whole country CIDR ranges. The CIDR blocks are generated from the
# Maxmind GeoLite Country database http://www.maxmind.com/app/geolitecountry
# and entirely relies on that service being available
#
# Specify the the two-letter ISO Country Code(s). The iptables rules are for
# incoming connections only
#
# Warning: These lists are never 100% accurate and some ISP's (e.g. AOL) use
# non-geographic IP address designations for their clients
#
# Warning: Some of the CIDR lists are huge and each one requires a rule within
# the incoming iptables chain. This can result in significant performance
# overheads and could render the server inaccessible in some circumstances. For
# this reason (amongst others) we do not recommend using these options
#
# Warning: Due to the resource constraints on VPS servers this feature should
# not be used on such systems unless you choose very small CC zones
#
# Warning: CC_ALLOW allows access through all ports in the firewall. For this
# reason CC_ALLOW probably has very limited use
#
# Each option is a comma separated list of CC's, e.g. "US,GB,DE"
CC_DENY =
CC_ALLOW =

# An alternative to CC_ALLOW is to only allow access from the following
# countries but still filter based on the port and packets rules. All other
# connections are dropped
CC_ALLOW_FILTER =

# This Country Code list will prevent lfd from blocking IP address hits for the
# listed CC's
CC_IGNORE =

# Display Country Code and Country for reported IP addresses. This option can
# be configured to use the MaxMind Country Database or the more detailed (and
# much larger and therefore slower) MaxMind City Database
#
# "0" - disable
# "1" - Reports: Country Code and Country
# "2" - Reports: Country Code and Country and Region and City
CC_LOOKUPS = Default: 1 [0-2]

# This option tells lfd how often to retrieve the Maxmind GeoLite Country
# database for CC_ALLOW, CC_ALLOW_FILTER, CC_DENY, CC_IGNORE and CC_LOOKUPS (in
# days)
CC_INTERVAL = Default: 7 [1-31]

однако проблема все еще остается, такая большая установка iptables замедлит вас, поэтому ее лучше делать на выделенном оборудовании, если это возможно, в зависимости от того, насколько мощный ваш сервер и объем трафика, который вы получаете, будет определять, насколько это выполнимо для вас, низкая мощность и / или высокий трафик могут сделать этот вариант не очень удачным.

вопрос, который я хотел бы задать: зачем вам блокировать такой большой диапазон IP-адресов? если это просто остановить их атаки, вероятно, лучше просто позволить CSF и LFD выполнять свою работу по автоматической блокировке атакующих IP-адресов, когда они приходят и уходят довольно часто, чтобы ваш черный список не мог охватить все очень быстро, особенно с бот-сетями