+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: Länder sperren (/thread-2091.html)
Länder sperren - fulltilt - 01-06-2008 08:28 PM
Ich möchte gerne bestimmte unerwünschte Länder aussperren, von denen ständig Angriffe erfolgen, unötige Load, Traffic und Arbeit verursachen.
Ich habe dabei keine moralischen Bedenken, da für diese länder die gesperrt werden sollen auch keine Services angeboten werden.
Habe dazu eine Seite gefunden die fertige Sheets anbietet die in eine .htaccess eingebunden werden können.
Link
Ist es möglich anstatt einzelner .htaccess auch das ganze für alle v-hosts z.B. in die http.conf einzubinden und wie müsste das dann aussehen?
Code:
deny from 58.
deny from 59.RE: Länder sperren - joximu - 01-06-2008 08:49 PM
Hi Ralph
ich vermute mal, wenn du das ausserhalb eines <VirtualHost> einbindest, sollte es für alle klappen. Habs aber nicht getestet. Könnte so aussehen:
Code:
<Directory />
Order allow,deny
deny from 58.
deny from 59.
</Directory>sowas in der Art... als 00_fremdblocker.conf in /etc/apache2/sites-enabled speichern :-)
Gruss J
RE: Länder sperren - rbtux - 01-06-2008 08:56 PM
wieso machst du das nicht auf kernel ebene mit iptables??
iptables -A INPUT -s 59.0.0.0/8 -j DROP
oder so...
RE: Länder sperren - fulltilt - 01-06-2008 08:59 PM
Hi joximu,
werde es mal so versuchen ...
SSH ist ganz gut abgesichert und damit habe ich momentan keine Probleme mehr.
Dafür habe ich in meinen modsecurity2 logs am Tag ungefähr 300 Versuche Rootkits über PHP zu installieren ...
Manche Scripts sind ewig lange und verursachen beim blocken extremen Load.
Dann auch jede menge UserAgents und Spambots - wird immer heftiger
joximu Wrote:Hi Ralph
ich vermute mal, wenn du das ausserhalb eines <VirtualHost> einbindest, sollte es für alle klappen. Habs aber nicht getestet. Könnte so aussehen:
Code:
<Directory />
Order allow,deny
deny from 58.
deny from 59.
</Directory>
sowas in der Art... als 00_fremdblocker.conf in /etc/apache2/sites-enabled speichern :-)
Gruss J
RE: Länder sperren - fulltilt - 01-06-2008 09:04 PM
rbtux Wrote:wieso machst du das nicht auf kernel ebene mit iptables??
iptables -A INPUT -s 59.0.0.0/8 -j DROP
oder so...
Ist auch eine Möglichkeit ...
Was wäre effektiver?
Werde erst mal mit dem apache testen wg. dem handling ...
RE: Länder sperren - rbtux - 01-06-2008 09:08 PM
tja über kernel hättest du auch keine connects auf postfix etc... das heisst weniger spam...
RE: Länder sperren - joximu - 01-06-2008 09:09 PM
Wirklich effektiver wäre natürlich die Methode mit iptables - da kommt Apache gar nicht erst ins Spiel, es wird einfach jeglicher Netzwerkverkehr aus diesen Bereichen abgelehnt.
Du hast wohl keine Kunden-Websites... :-)
/J
RE: Länder sperren - fulltilt - 01-06-2008 09:23 PM
Brasilien, China, Ukraine ...
Die ballern eine Kiste so zu, das ich ständig eingreifen muss und nicht mehr zum arbeiten komme.
Wenn darunter auch die Performance und die Sicherheit von Kundenwebs leidet, entscheide ich mich für das abblocken.
Ist ja nicht erst seit ein paar Tagen, das geht jetzt über Jahre so ...
joximu Wrote:Wirklich effektiver wäre natürlich die Methode mit iptables - da kommt Apache gar nicht erst ins Spiel, es wird einfach jeglicher Netzwerkverkehr aus diesen Bereichen abgelehnt.
Du hast wohl keine Kunden-Websites... :-)
/J
RE: Länder sperren - joximu - 01-07-2008 01:03 AM
Offtopic:
Ich hab halt ein Kunde, der öfters mal auch in China ist... blocken liegt da nicht drin, da er auch während den anderen Zeiten mit den Leuten dort kommunizieren muss...
Es ist halt zweischneidig. Ich denke, wenn man fail2ban so einrichten könnte, dass die IPs mit Angriffsanfragen geblockt werden...
Das sollte möglich sein...???
Gruss J
RE: Länder sperren - fulltilt - 01-07-2008 01:16 AM
Hi joximu,
Habe fail2ban im Einsatz und auch modsecurity2 mit jeder Menge Rules von gotroot ... dann noch iptables mit synflood rules ...
Manchmal waren Attacken oder Spamerei so heftig das fail2ban einfach gecrashed ist.
Ich habe jetzt das gröbste mit IPtables geblockt:
Brasilien komplett
Russland und Ukraine teilweise
Korea, Hong Kong und China teilweise
(habe da eine gute Sammlung gefunden)
http://www.wizcrafts.net/chinese-blocklist.html
Ich habe vorher auch trotz Amavis und Spamfighting Howtos hier aus dem Forum noch ca. 100 Spammails am Tag die durchkamen.
Die iptables sind jetzt seit 3 Stunden aktiv und bislang kam keine einzige.
Ich denke das die Vorteile eher überwiegen und wenn ein Kunde dazwischen ist der Probleme hat, da kann ein IP Bereich wieder aufgemacht werden.
joximu Wrote:Offtopic:
Ich hab halt ein Kunde, der öfters mal auch in China ist... blocken liegt da nicht drin, da er auch während den anderen Zeiten mit den Leuten dort kommunizieren muss...
Es ist halt zweischneidig. Ich denke, wenn man fail2ban so einrichten könnte, dass die IPs mit Angriffsanfragen geblockt werden...
Das sollte möglich sein...???
Gruss J