У нас есть сервер, который постоянно атакуют люди, пытающиеся взломать его. У нас есть DenyHosts и Fail2Ban, работающие на сервере, но он по-прежнему получает тонну трафика от людей, которые не замышляют ничего хорошего. Моему боссу это наконец надоело, он пошел в http://ipinfodb.com/ip_country_block.php и создал список диапазонов IP, которые он хочет заблокировать с сервера. Дело в том, что это список чуть более 13 000 изображений в секунду.
Как лучше всего заблокировать эти IP-адреса? Я мог бы написать сценарий, чтобы просмотреть список и добавить их в iptables, но это кажется плохой идеей. Я могу вставить список в DenyHosts, но я не уверен, какой будет производительность при этом. Есть ли лучшая альтернатива, чем любой из них?
Кто-нибудь может дать мне совет по этому поводу?
Используйте ipset для создания набора IP-диапазонов (возможно, с помощью сценария), а затем используйте --match-set в правиле iptables. Таким образом сопоставление будет довольно эффективным, потому что ipset хешируются.