Comments 30
зачем дискриминация? пусть заходят откуда хотят…
0
Часто дос атака начинается из определенного региона (часто из китая) и таким методом легко прикрыть лазейку
+1
При SYN Spoof DDOS'е пакеты могут приходить из Китая, хотя реально шлются из соседнего подъезда и в Китае ни разу не были, так что регионы уже не котируются =/
+3
Таки да, но просто китайский трафик не представляет в данном случае интереса — просто заходят, грабят картинки, ничего не покупают.
+1
В этом случае и ногда помогают SYN-куки
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
0
из ненужных стран
Ну это вы сильно сказали
+5
Из каких это таких ненужных стран а? выкладывайте, напрямую
+1
Ну в Украине можна попросить датацентр отключить Вам «мир». Правда UTC-X отвалится.
+1
Да, в Украине очень много проблем можно избежать настроив все подобным образом!
+1
А как к FreeBSD прикрутить?
0
Сдается мне что то же самое делали на одном из популярных западных ресурсов. Что с ними стало теперь — известно )
0
Мы оба продумали про Демоноид? :)
0
Одно дело — сайты и трекеры, другое — гео-ориентированные проекты (соц. сети, магазины, сервисы и т.д.).
Согласитесь, шанс, что кто-то из Китая или Малайзии купит товар в интернет-магазин с доставкой по г. Пермь довольно мал. А вот негативная активность (сканы портов, брутфорс ssh, ddos, сграбливание контента) идет в основном оттуда.
Согласитесь, шанс, что кто-то из Китая или Малайзии купит товар в интернет-магазин с доставкой по г. Пермь довольно мал. А вот негативная активность (сканы портов, брутфорс ssh, ddos, сграбливание контента) идет в основном оттуда.
+3
>KERNEL_DIR=/usr/src/linux-source-2.6.18/ ./runme geoip
а вы не пропустили IPTABLES_DIR?
а вы не пропустили IPTABLES_DIR?
0
0
У меня немного другой скрипт. Разрешить доступ с определенных ip-адресов:
/sbin/iptables -P INPUT REJECT
/sbin/iptables -N allow_web_ip
/sbin/iptables -F allow_web_ip
/sbin/iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,443 -j allow_web_ip
for IP1 in `/bin/cat /etc/iptables/clients.txt`
do
/sbin/iptables -A allow_web_ip -s $IP1 -j ACCEPT
done
for IP2 in `/bin/cat /etc/iptables/local.txt`
do
/sbin/iptables -A allow_web_ip -s $IP2 -j ACCEPT
done
for IP3 in `/bin/cat /etc/iptables/peering.txt`
do
/sbin/iptables -A allow_web_ip -s $IP3 -j ACCEPT
done
for IP4 in `/bin/cat /etc/iptables/rbnotinpeering.txt`
do
/sbin/iptables -A allow_web_ip -s $IP4 -j ACCEPT
done
...
0
Нормальные люди всякий левый траф не рубят, а редиректят на софт =)
0
для варианта с nginx можно воспользоваться и бинарной базой (0.8.6+) — sysoev.ru/nginx/docs/http/ngx_http_geoip_module.html.
+1
Никто не сталкивался?
zrouter:~/patch-o-matic-ng-20091024# KERNEL_DIR=/usr/src/linux-source-2.6.26 IPTABLES_DIR=/usr/src/iptables-1.4.2/ ./runme geoip
/usr/src/iptables-1.4.2/ doesn't look like a iptables source code directory to me.
zrouter:~/patch-o-matic-ng-20091024# KERNEL_DIR=/usr/src/linux-source-2.6.26 IPTABLES_DIR=/usr/src/iptables-1.4.2/ ./runme geoip
/usr/src/iptables-1.4.2/ doesn't look like a iptables source code directory to me.
0
Система Debian 5.0
0
Для Debian 5.0 — www.ducea.com/2009/03/18/iptables-geoip-match-on-debian-lenny/
0
Sign up to leave a comment.
Как защитить сервер от посетителей из нежелаемых стран