Pull to refresh

Comments 30

зачем дискриминация? пусть заходят откуда хотят…
Часто дос атака начинается из определенного региона (часто из китая) и таким методом легко прикрыть лазейку
UFO landed and left these words here
Таки да, но просто китайский трафик не представляет в данном случае интереса — просто заходят, грабят картинки, ничего не покупают.
В этом случае и ногда помогают SYN-куки
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
А это спуфленным пакетам никчему, они ACK не шлют, их цель — забить сокеты и загрузить серер генерацией кукисов
из ненужных стран

Ну это вы сильно сказали
Из каких это таких ненужных стран а? выкладывайте, напрямую
Страны, в которых социум не склонен к покупкам через сайты в силу ряда причин
Ну в Украине можна попросить датацентр отключить Вам «мир». Правда UTC-X отвалится.
Да, в Украине очень много проблем можно избежать настроив все подобным образом!
Поставить nginx из портов и далее по инструкции
Под nginx понятно, но меня интересует именно поддержка в ядре и запрет через pf, тогда можно закрыть vpn, ftp корпоративные, которые нужны только из России (или разрешить только российские ip).
Сдается мне что то же самое делали на одном из популярных западных ресурсов. Что с ними стало теперь — известно )
Ох, не только мы )
Одно дело — сайты и трекеры, другое — гео-ориентированные проекты (соц. сети, магазины, сервисы и т.д.).

Согласитесь, шанс, что кто-то из Китая или Малайзии купит товар в интернет-магазин с доставкой по г. Пермь довольно мал. А вот негативная активность (сканы портов, брутфорс ssh, ddos, сграбливание контента) идет в основном оттуда.
Конечно я согласен. Дела у магазинов и теркеров разные, но технология отлупа (сабж!) — общая.

Еще могу заметить, что не очень понимаю, зачем в китае контент магазина с доставкой по Перми, но в остальном — уверенное да.
>KERNEL_DIR=/usr/src/linux-source-2.6.18/ ./runme geoip
а вы не пропустили IPTABLES_DIR?
У меня немного другой скрипт. Разрешить доступ с определенных ip-адресов:
/sbin/iptables -P INPUT REJECT

/sbin/iptables -N allow_web_ip
/sbin/iptables -F allow_web_ip
/sbin/iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,443 -j allow_web_ip

for IP1 in `/bin/cat /etc/iptables/clients.txt`
do
/sbin/iptables -A allow_web_ip -s $IP1 -j ACCEPT
done
for IP2 in `/bin/cat /etc/iptables/local.txt`
do
/sbin/iptables -A allow_web_ip -s $IP2 -j ACCEPT
done
for IP3 in `/bin/cat /etc/iptables/peering.txt`
do
/sbin/iptables -A allow_web_ip -s $IP3 -j ACCEPT
done
for IP4 in `/bin/cat /etc/iptables/rbnotinpeering.txt`
do
/sbin/iptables -A allow_web_ip -s $IP4 -j ACCEPT
done
...
Нормальные люди всякий левый траф не рубят, а редиректят на софт =)
Никто не сталкивался?

zrouter:~/patch-o-matic-ng-20091024# KERNEL_DIR=/usr/src/linux-source-2.6.26 IPTABLES_DIR=/usr/src/iptables-1.4.2/ ./runme geoip
/usr/src/iptables-1.4.2/ doesn't look like a iptables source code directory to me.
по этому ману легко настроил на дебиане, спасибо
Only those users with full accounts are able to leave comments. Log in, please.