Как защитить сервер от посетителей из нежелаемых стран

[@pROCKrammer]

зачем дискриминация? пусть заходят откуда хотят…

[@DYm00n]

Часто дос атака начинается из определенного региона (часто из китая) и таким методом легко прикрыть лазейку

[@BaBL]

При SYN Spoof DDOS'е пакеты могут приходить из Китая, хотя реально шлются из соседнего подъезда и в Китае ни разу не были, так что регионы уже не котируются =/

[@Andrey_Rogovsky]

Таки да, но просто китайский трафик не представляет в данном случае интереса — просто заходят, грабят картинки, ничего не покупают.

[@alrond]

В этом случае и ногда помогают SYN-куки

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

[@Andrey_Rogovsky]

А это спуфленным пакетам никчему, они ACK не шлют, их цель — забить сокеты и загрузить серер генерацией кукисов

[@nshopik]

из ненужных стран

Ну это вы сильно сказали

[@Andrey_Rogovsky]

Исправился

[@securer]

Из каких это таких ненужных стран а? выкладывайте, напрямую

[@rolinskyigor]

Страны, в которых социум не склонен к покупкам через сайты в силу ряда причин

[@shalb]

Ну в Украине можна попросить датацентр отключить Вам «мир». Правда UTC-X отвалится.

[@mandrivko]

Да, в Украине очень много проблем можно избежать настроив все подобным образом!

[@PhAbyss]

А как к FreeBSD прикрутить?

[@Andrey_Rogovsky]

Поставить nginx из портов и далее по инструкции

[@PhAbyss]

Под nginx понятно, но меня интересует именно поддержка в ядре и запрет через pf, тогда можно закрыть vpn, ftp корпоративные, которые нужны только из России (или разрешить только российские ip).

[@d_a]

Сдается мне что то же самое делали на одном из популярных западных ресурсов. Что с ними стало теперь — известно )

[@Andrey_Rogovsky]

Мы оба продумали про Демоноид? :)

[@d_a]

Ох, не только мы )

[@differentlocal]

Одно дело — сайты и трекеры, другое — гео-ориентированные проекты (соц. сети, магазины, сервисы и т.д.).

Согласитесь, шанс, что кто-то из Китая или Малайзии купит товар в интернет-магазин с доставкой по г. Пермь довольно мал. А вот негативная активность (сканы портов, брутфорс ssh, ddos, сграбливание контента) идет в основном оттуда.

[@d_a]

Конечно я согласен. Дела у магазинов и теркеров разные, но технология отлупа (сабж!) — общая.

Еще могу заметить, что не очень понимаю, зачем в китае контент магазина с доставкой по Перми, но в остальном — уверенное да.

[@ins7]

>KERNEL_DIR=/usr/src/linux-source-2.6.18/ ./runme geoip
а вы не пропустили IPTABLES_DIR?

[@alrond]

Для варианта с nginx более точная база (Nginx-CIDR вариант), чем даже платный максминд

[@svin0]

У меня немного другой скрипт. Разрешить доступ с определенных ip-адресов:
/sbin/iptables -P INPUT REJECT

/sbin/iptables -N allow_web_ip
/sbin/iptables -F allow_web_ip
/sbin/iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,443 -j allow_web_ip

for IP1 in `/bin/cat /etc/iptables/clients.txt`
do
/sbin/iptables -A allow_web_ip -s $IP1 -j ACCEPT
done
for IP2 in `/bin/cat /etc/iptables/local.txt`
do
/sbin/iptables -A allow_web_ip -s $IP2 -j ACCEPT
done
for IP3 in `/bin/cat /etc/iptables/peering.txt`
do
/sbin/iptables -A allow_web_ip -s $IP3 -j ACCEPT
done
for IP4 in `/bin/cat /etc/iptables/rbnotinpeering.txt`
do
/sbin/iptables -A allow_web_ip -s $IP4 -j ACCEPT
done
...


[@AstonMartin]

Нормальные люди всякий левый траф не рубят, а редиректят на софт =)

[@borisko]

для варианта с nginx можно воспользоваться и бинарной базой (0.8.6+) — sysoev.ru/nginx/docs/http/ngx_http_geoip_module.html.

[@Screen]

Никто не сталкивался?

zrouter:~/patch-o-matic-ng-20091024# KERNEL_DIR=/usr/src/linux-source-2.6.26 IPTABLES_DIR=/usr/src/iptables-1.4.2/ ./runme geoip
/usr/src/iptables-1.4.2/ doesn't look like a iptables source code directory to me.

[@Screen]

Система Debian 5.0

[@Screen]

Для Debian 5.0 — www.ducea.com/2009/03/18/iptables-geoip-match-on-debian-lenny/

[@Ajex]

по этому ману легко настроил на дебиане, спасибо

[@rdolgov]

bit.ly/9xau4X