Blokir rentang Alamat IP

49

Saya dibombardir dengan upaya peretasan dari Cina semua dengan IP serupa.

Bagaimana saya memblokir rentang IP dengan sesuatu seperti 116.10.191. * Dll.

Saya menjalankan Ubuntu Server 13.10.

Baris saat ini yang saya gunakan adalah:

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

Ini hanya memungkinkan saya memblokir satu per satu, tetapi peretas mengubah IP di setiap upaya.

Stephen Cioffi
sumber
4
Anda harus melihat fail2ban itu benar-benar baik secara dinamis melarang alamat IP gangguan.
user9517 mendukung GoFundMonica
Saya juga suka menambahkan knockd untuk menghilangkan hampir 100% upaya akses yang gagal dari log saya. help.ubuntu.com/community/PortKnocking
Bruno Bronosky
pam_shield dapat membantu di sini. github.com/jtniehof/pam_shield
Daniel

Jawaban:

87

Untuk memblokir 116.10.191. * Alamat:

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

Untuk memblokir 116.10. *. * Alamat:

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

Untuk memblokir 116. *. *. * Alamat:

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

Tapi hati-hati apa yang Anda blokir menggunakan metode ini. Anda tidak ingin mencegah lalu lintas yang sah dari mencapai tuan rumah.

sunting : seperti yang ditunjukkan, iptables mengevaluasi aturan secara berurutan. Aturan yang lebih tinggi di kumpulan aturan diterapkan sebelum aturan yang lebih rendah di kumpulan aturan. Jadi, jika ada aturan yang lebih tinggi di set aturan Anda yang memungkinkan lalu lintas tersebut, maka menambahkan ( iptables -A) aturan DROP tidak akan menghasilkan hasil pemblokiran yang dimaksud. Dalam hal ini, masukkan ( iptables -I) aturan:

  • sebagai aturan pertama

sudo iptables -I ...

  • atau sebelum aturan perbolehkan

sudo iptables --line-numbers -vnL

katakanlah bahwa menunjukkan aturan nomor 3 memungkinkan lalu lintas ssh dan Anda ingin memblokir ssh untuk rentang ip. -Imengambil argumen bilangan bulat yang merupakan lokasi di set aturan Anda, Anda ingin aturan baru dimasukkan

iptables -I 2 ...

Sungai kecil
sumber
Periksa arin.net dan blok seluruh rentang rentang ip yang dimiliki Amsterdam . Tempat itu adalah RIPE dengan spider penyelidik - saya ragu ada lalu lintas yang sah keluar dari sana.
WEBjuju
perhatikan bahwa ini mungkin tidak berfungsi tergantung pada urutan aturan iptable , lihat jawaban serverfault.com/a/507502/1
Jeff Atwood
2
o snap @JeffAtwood Saya merasa terhormat dengan komentar Anda. jawaban diperbarui;)
Creek
Dan bagaimana Anda membuka blokir rentang tertentu?
bzero
11

sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

Ini memblokir jangkauan. Anda dapat memperluas subnet sesuai kebutuhan dengan format umum yang sama.

Nathan C
sumber
apakah ini akan bekerja pada seluruh rentang set ke-4? Suka adalah 0/24 hanya 0-24. Saya mencoba misalnya 500 tetapi tidak berhasil. Akankah 0/24 mencakup semua angka-angka lain di tahun 100-an dan 200
Stephen Cioffi
3
@Stephen Ini adalah rentang CIDR. Jika Anda perlu menghitungnya untuk rentang yang berbeda, gunakan ini: subnet-calculator.com/cidr.php
Nathan C
4

Sebagai pendekatan alternatif Anda bisa menggunakan sesuatu yang sederhana seperti fail2ban. Itu melembagakan timeout untuk upaya login gagal berturut-turut dan membuat bruteforcing tidak layak karena mereka hanya mendapatkan beberapa peluang per timeout. Saya menetapkan waktu saya untuk 30 menit. Pada saat mereka satu atau dua jam, mereka menyadari bahwa mereka tidak akan dapat membuat kemajuan dan menyerah.

temet
sumber
Selain itu, memblokir seluruh negara dapat menghambat penggunaan yang sah.
Esa Jokinen
Saya menyadari bahwa utas ini sudah lebih dari setahun, tetapi saya ingin orang tahu sesuatu. Saya telah menginstal dan menjalankan fail2ban tetapi saya juga secara teratur memeriksa log server saya. Ada rentang IP ini 89.248.x.xyang terus mencoba login email yang berbeda kira-kira setelah satu jam dari upaya terakhir, sepanjang hari. Rupanya menjaga agar findtimefail2ban di 30mins tidak lagi cukup untuk menjaga setiap script anak nakal keluar.
Tanzeel Kazi