Page 1 of 1
Как заблокировать IP-адреса?
Posted: Mon Oct 28, 2019 11:29 pm
by ruport
С нескольких (около 50ти) IP-адресов многие мои сайты сканируют боты. Хочу полностью заблокировать любой доступ к серверу с этих адресов.
Для теста в файерволе прописал свой IP, но сайты с этого IP все-равно доступны....
Что там написать и куда надо нажать, чтобы полностью игнорировать все запросы с определенных IP?
Re: Как заблокировать IP-адреса?
Posted: Wed Oct 30, 2019 12:23 am
by grayfolk
На скрине 123.123.123.123 указан как порт.
Файервол отвечает за открытость портов. Для блокировок идите в настройки fail2ban. На скрине есть эта ссылка.
Re: Как заблокировать IP-адреса?
Posted: Wed Oct 30, 2019 4:50 pm
by ruport
grayfolk wrote: ↑Wed Oct 30, 2019 12:23 am
На скрине 123.123.123.123 указан как порт.
Файервол отвечает за открытость портов. Для блокировок идите в настройки fail2ban. На скрине есть эта ссылка.
Я так понимаю в fail2ban IP-адрес храниться временно, даже если через панель VestaCP добавить? Пожизненно можно блокировать, либо создать список IP-адресов отдельным файлом и подключать как-нибудь в конфиге include-ом?
Re: Как заблокировать IP-адреса?
Posted: Wed Oct 30, 2019 5:15 pm
by grayfolk
ruport wrote: ↑Wed Oct 30, 2019 4:50 pm
grayfolk wrote: ↑Wed Oct 30, 2019 12:23 am
На скрине 123.123.123.123 указан как порт.
Файервол отвечает за открытость портов. Для блокировок идите в настройки fail2ban. На скрине есть эта ссылка.
Я так понимаю в fail2ban IP-адрес храниться временно, даже если через панель VestaCP добавить? Пожизненно можно блокировать, либо создать список IP-адресов отдельным файлом и подключать как-нибудь в конфиге include-ом?
А черт его знает, не пользовался ни разу.
Re: Как заблокировать IP-адреса?
Posted: Wed Nov 06, 2019 5:43 am
by demian
fail2ban лишний на продакшене.
iptables сам справляется с задачей быстрее и надежнее
пример
Code: Select all
# cat /etc/sysconfig/iptables
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 7200 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m hashlimit --hashlimit-above 5/min --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
не уверен что через панель такое добавить
+ у вас есть nginx через который также же можно отсечь ботов
Code: Select all
map $http_user_agent $limit_bots {
default 0;
~*(google|bing|yandex|msnbot) 1;
~*(AltaVista|Googlebot|Slurp|BlackWidow|Bot|ChinaClaw|Custo|DISCo|Download|Demon|eCatch|EirGrabber|EmailSiphon|EmailWolf|SuperHTTP|Surfbot|WebWhacker) 1;
~*(Express|WebPictures|ExtractorPro|EyeNetIE|FlashGet|GetRight|GetWeb!|Go!Zilla|Go-Ahead-Got-It|GrabNet|Grafula|HMView|Go!Zilla|Go-Ahead-Got-It) 1;
~*(rafula|HMView|HTTrack|Stripper|Sucker|Indy|InterGET|Ninja|JetCar|Spider|larbin|LeechFTP|Downloader|tool|Navroad|NearSite|NetAnts|tAkeOut|WWWOFFLE) 1;
~*(GrabNet|NetSpider|Vampire|NetZIP|Octopus|Offline|PageGrabber|Foto|pavuk|pcBrowser|RealDownload|ReGet|SiteSnagger|SmartDownload|SuperBot|WebSpider) 1;
~*(Teleport|VoidEYE|Collector|WebAuto|WebCopier|WebFetch|WebGo|WebLeacher|WebReaper|WebSauger|eXtractor|Quester|WebStripper|WebZIP|Wget|Widow|Zeus) 1;
~*(Twengabot|htmlparser|libwww|Python|perl|urllib|scan|Curl|email|PycURL|Pyth|PyQ|WebCollector|WebCopy|webcraw) 1;
}
location / {
if ($limit_bots = 1) {
return 403;
}
}
Re: Как заблокировать IP-адреса?
Posted: Sun Nov 10, 2019 5:15 am
by ruport
Code: Select all
map $http_user_agent $limit_bots {
default 0;
~*(google|bing|yandex|msnbot) 1;
~*(AltaVista|Googlebot|Slurp|BlackWidow|Bot|ChinaClaw|Custo|DISCo|Download|Demon|eCatch|EirGrabber|EmailSiphon|EmailWolf|SuperHTTP|Surfbot|WebWhacker) 1;
~*(Express|WebPictures|ExtractorPro|EyeNetIE|FlashGet|GetRight|GetWeb!|Go!Zilla|Go-Ahead-Got-It|GrabNet|Grafula|HMView|Go!Zilla|Go-Ahead-Got-It) 1;
~*(rafula|HMView|HTTrack|Stripper|Sucker|Indy|InterGET|Ninja|JetCar|Spider|larbin|LeechFTP|Downloader|tool|Navroad|NearSite|NetAnts|tAkeOut|WWWOFFLE) 1;
~*(GrabNet|NetSpider|Vampire|NetZIP|Octopus|Offline|PageGrabber|Foto|pavuk|pcBrowser|RealDownload|ReGet|SiteSnagger|SmartDownload|SuperBot|WebSpider) 1;
~*(Teleport|VoidEYE|Collector|WebAuto|WebCopier|WebFetch|WebGo|WebLeacher|WebReaper|WebSauger|eXtractor|Quester|WebStripper|WebZIP|Wget|Widow|Zeus) 1;
~*(Twengabot|htmlparser|libwww|Python|perl|urllib|scan|Curl|email|PycURL|Pyth|PyQ|WebCollector|WebCopy|webcraw) 1;
}
location / {
if ($limit_bots = 1) {
return 403;
}
}
[/quote]
Это придется делать для каждого сайта на сервере. А для всех сразу - не получится.
Re: Как заблокировать IP-адреса?
Posted: Mon Nov 11, 2019 6:39 am
by demian
ruport wrote: ↑Sun Nov 10, 2019 5:15 am
Это придется делать для каждого сайта на сервере. А для всех сразу - не получится.
изменить шаблон и массово пересоздать настройки web