Permalänk

iptables fråga

Hej har massa attacker från en och samma isp,

prefix : t-dialin.net
prefix : tpnet.pl
prefix : t-ipconnect.de

Kan man på något sätt blocka dessa ip-addresser istället för att behöva blocka ett helt A-nät.

bara låsa ute alla med ipn som har prefixen av dom ovan i sig?

jag hoppas att någon förstår vad jag menar.

typ

iptables -A INPUT -i eth0 -s *.t-ipconnect.de -j DROP

//RaZer

Permalänk
Medlem

Re: iptables fråga

Nja... Kollar du i iptables-manualen för "-s" så står det "Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address." Så i princip kanske, eventuellt, det skulle kunna funka om du har tre separata regler och anger network name. Och det ska inte vara någon "*" i argumenten.

Men! Om man läser vidare så står det också: "Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea."

Anledningen till detta är förmodligen att för varenda förbaskade paket som kommer in så får du göra en tidskrävande DNS-uppslagning, och DNS-uppslagningen genererar ytterligare ett antal paket, och så ska man göra DNS-uppslagning på dessa, och detta genererar ytterligare paket osv, osv... Det blir någon form av exponentiell tillväxt tills det havererar.

Dessutom är ju risken att du faktiskt har blockerat DNSen du behöver använda för att slå upp nätverksnamen - eftersom du droppar allt från de nätverken. Och då får du någon form av låsning.

Så tyvärr kanske det är en "really bad idea" som det står i manualen.

Permalänk
Medlem

Kolla in fail2ban

Permalänk
Hedersmedlem

Gör en whois på ip:t så får du ett svar med vilket nät det tillhör, tex
inetnum: 91.32.0.0 - 91.63.255.255

Vad är det för typ av attacker? Blocka en hel isp är något jag skulle undvika så långt det är möjligt, så är det bara vanligt ms-worm-brus tycker jag du skall ignorera det istället, alt temporärt blocka enskilda hosts om du vill hålla loggarna rena.