[Petición a OVH]*Gestión de scans en servidores con VPS

Los paquetes se encaminan a través de la IP principal, aunque los logs detecten la IP fail-over como tú dices, no podríamos hacer nada. Esta IP te sirve para saber qué VPS está realizando el ataque, pero no sirve para cortarlo.

A no ser claro está, que los administradores de OVH pudieran entrar en tu servidor y ejecutar un iptables, pero estaríamos hablando de otro problema. Además que, como sabréis, hay servidores Windows que también hacen VPS.

Por el momento no hay otra solución que cerrar la IP principal (el servidor completo) para parar el ataque. Siento que esa solución no se adapte a tu forma de trabajar.

Un saludo.

y entonces ¿por que cuando enviais los logs en los emails de desconexion, solamente sale la ip fail over (la del vps) y no sale ni la ip principal ni las otras fail over?

el que no salgan las otras fail over es razonable, ya que los otros vps no se ven afectados, pero al menos las dos veces que me paso a mi de desconexiones NUNCA aparecia la ip principal y SIEMPRE salia una ip fail over, la de un vps.

de todas formas al menos en mi caso da igual, el dia 1 vencieron los servers que usaba para los vps y ya no los renove, ni los renovare.

ya toda la estructura de vps fue migrada a un datacenter en madrid, donde estaba todo antes de migrar a ovh.

todavia nos quedan algunos servidores en ovh, pero que iran a menos cada vez, puesto que ya la migracion de regreso se ha iniciado.

mantendremos alguno en ovh, el que nos compense por trafico y demas, pero vamos, para cosas "serias" como los vps, no es viable hoy por hoy.

gracias por tu atencion

No es posible. Cuando se realiza un ataque saliente, se haga desde donde se haga, si se corta la IP fail.over, el ataque sigue saliendo por la tarjeta de red (a través de la IP principal)

El VPS puede no tener tráfico de entrada, pero el tráfico de salida siempre está "enrutado" a través de la IP principal. Hay que cortar el tráfico de salida y por tanto, la IP principal.

Luego la petición no es posible técnicamente.

totalmente de acuerdo contigo, ya eso que tu propones se lo he dicho yo tambien.

En el email de desactivacion que nos envian, viene la ip que supuestamente hace scan, pues que desactiven la ip y de esa forma el scan o ataque se para, y automaticamente envien un email al cliente informandole y dandole un plazo de 24 o 48 horas para eliminar la vps afectada (ya no estara atacando por que la ip esta desactivada),

una vez pasado este plazo o cuando el cliente informe, incluso via manager, que ya el problema fue resuelto, se reactiva la ip, y si el problema persiste, con la misma ip molestando, ahi si, que desactiven todo el nodo.

hace dias me desconectaron a mi un servidor con 7 vps, por que una de las vps por lo visto hizo scan, eran vps windows, y encima con la suerte que era domingo, bueno no le deseo a nadie el domingo que tube que pasar yo.

Hola,

De este tema se ha hablado bastante este fin de semana
en la lista de VPS.

Quería proponer a OVH que cuando haya un problema
de scans con un servidor que utilice alguna tecnología
de virtualziación, se mate solo las ip's implicadas, y no
al servidor entero.

Ya que si tienes problemas en un vps en concreto,
pones en riesgo toda la infraestructura.

Saludos,