Moin !

Ich würde gerne bestimmte IP Ranges sperren, da mir zu viele Attacken auf meinen Server erfolgen. Wie kann ich das am besten machen ?

OS: aktuelles Debian/Ubuntu

Nabend. Die Option für Iptables ist -m iprange und dann entweder --src-range ... oder --dst-range ...

Danke für die schnelle Antwort. Ich habe mich mit iptables noch nie direkt auseinander gesetzt, daher benötige ich noch etwas mehr hilfe :)

Wäre der folgende Befehl korrekt ?
iptables -A INPUT -m iprange --src-range 201.0.0.0 - 201.255.255.255

Damit würde ich z.B. "Latin American and Caribbean" ausschließen ?! Mit der option --comment kann ich auch ein Kommentar übergeben, warum jemand geblockt wurde ?

Sollte ich etwas besonderes beachten ?

Ich habe gerade noch etwas "ergoogelt" :

Dort hat jemand per CIDR geblockt --> "iptables -I INPUT -s 221.0.0.0/8 -j DROP". Wenn ich das gerade im Expressverfahren richtig verstanden habe, ist das besser, da dort auch das Subnet definiert ist...

Was davon nun besser ist müssen die Fachmänners hier beantworten ;)


Wäre der folgende Befehl korrekt ?
iptables -A INPUT -m iprange --src-range 201.0.0.0 - 201.255.255.255
Könnte sein das die Leerzeichen zwischen IPs und Bindestrich weg müssen, aber sonst korrekt.


Mit der option --comment kann ich auch ein Kommentar übergeben, warum jemand geblockt wurde ?
Jup


Sollte ich etwas besonderes beachten ?
Zu beachten wäre die Möglichkeit, dass jemand evtl nen Proxy aus dem/den Netz(en) nutzt die du blocken willst und für den wärst du dann nicht mehr erreichbar.

ok, super. Wenn mich noch jemand in der Entscheidung bestärkt, entweder per IP oder per CIDR zu blocken, dann werde ich mal "aufräumen" :)

Lustig, das ein Server gerade mal eine Woche "on" ist und rund 90% der Logs voll mit attacken sind *nene*

"Wer nicht hören will ... " :p

Danke für deine Hilfe !

Lustig, das ein Server gerade mal eine Woche "on" ist und rund 90% der Logs voll mit attacken sind *nene*
normales Hintergrundrauschen. Wenn das System sauber konfiguriert ist kann einem das herzlich egal sein.

Und sonstige Tips, wie man die Logfiles "sauber" bekommt findet mal hier ja auch zuhauf...

Moin !

Das ist kein Hintergrundrauschen mehr. Mehrere Server sind bei mir "normal" - hier und da ein kleine Welle - der eine Server steht aber ständig unter Angriff. Das Verhältniss stimmt nicht mehr, daher möchte ich dort den Sack zu ziehen.

Erst einmal ein Kaffee ... :)

Nur zur Info... der Server steht bewusst unter Angriff. Die letzen Tage habe ich rund 95% Brutforce-Einträge in der Logdatei. Die performance des Servers geht zu dem in die Knie, da auch noch der Mailserver in der Schusslinie steht.

Nehmt es mir nicht übel, aber bevor ihr eure Weisheiten zum besten gebt z.B. "Hintergrundrauschen", wäre es vieleicht sinnvoll auf solch ein Thema bzw. Anfrage eher einzugehen als standard Antworten zu liefern ...

Ich habe mich inzwischen gut durchgelesen und weis was ich tun kann. Nur schade, das man so "abgefertigt" wurde.

Ich benutze gegen Bruteforcer fail2ban (http://www.fail2ban.org/). Der sperrt nach einer festgelegten Anzahl an fehlgeschlagenen Anmeldeversuchen die IP des Angreifers für einen festlegbaren Zeitraum.

Auch andere Filterszenarien sind möglich.

Das ist nicht ganz so rigoros wie die Sperrung kompletter IP-Bereiche, aber trotzdem sehr effektiv.