PacoSS
25/11/2010, 16:32
Publicado inicialmente por sdzzds
Limitarlo por .htaccess puede ser interesante, como propone j5boot, voy a mirar la web esa. El pop3 está bién controlado por CSF ante ataques por fuerza bruta.
Ayuda: IPTABLES - SPAIN Only :D
Publicado inicialmente por sdzzds
Limitarlo por .htaccess puede ser interesante, como propone j5boot, voy a mirar la web esa. El pop3 está bién controlado por CSF ante ataques por fuerza bruta.
j5boot
25/11/2010, 16:00
Quizas esta pagina te interese:
http://www.countryipblocks.net/
Te bloquea por pais por .htaccess o te da el rango en txt que si luego quieres meterlo en iptables... eso ya como veas. Pero vamos, si solo quiere pasar IPs españolas, yo bloquearia todo excepto bloques españoles y google, bing, etc...
http://www.countryipblocks.net/
Te bloquea por pais por .htaccess o te da el rango en txt que si luego quieres meterlo en iptables... eso ya como veas. Pero vamos, si solo quiere pasar IPs españolas, yo bloquearia todo excepto bloques españoles y google, bing, etc...
sdzzds
25/11/2010, 12:46
tiene cpanel ese VPS? Si instalas CSF puedes bloquear fácilmente estos rangos de ips...
tonysanchez
25/11/2010, 09:38
Me apunto al problema.
Telefonica España, tiene rangos aun sin trasladar de LANIC a RIPE, y que son de Chile. Incluso hay por ahi algun ISP español, usando bloques IP de Africa...
Cosas de no seguir la netiquette
Telefonica España, tiene rangos aun sin trasladar de LANIC a RIPE, y que son de Chile. Incluso hay por ahi algun ISP español, usando bloques IP de Africa...
Cosas de no seguir la netiquette
PacoSS
09/11/2010, 14:27
Ya se que es radical, pero yo lo entiendo a mi usuario, el 93% de las visitas que tiene su VPS son ip's ES, y el resto creo que buscadores o poco mas. Y cuando no es una vulnerabilidad de tal CMS, es un usuario con un gallery por defecto u otro con admin/admin.
Aunque últimamente, es por troyanos en los pc's de los usuarios. Me suben scripts por ftp (relayers de spam), y suelen ser minutos después de haberse logueado el usuario verdadero desde una ip española.
En primer lugar iría aceptando las conexiones ya establecidas: -m state --state RELATED,ESTABLISHED -j ACCEPT
Ya solo me quedarían las NEW y cosas raras, que entrarían al filtro.
Por cierto, acabo de encontrar un script, que me une las que son consecutivas: aggregate-cidr-addresses. Menos da una piedra.
Respecto a tu ip, pues es cierto, y bien claro que pone ES en su registro, pero no sale en ninguna de las listas geo-ip que tengo. Es por eso, de poner una página web y un redirect a ella, para que los afectados puedan informar.
Afinando aún mas, podría filtrar primero por el primer octeto. El rango super-simplificado sería este (y con solo eso, ya me quitaría china, rusia, ...):
2.0.0.0/8
46.0.0.0/8
62.0.0.0/8
77.0.0.0/8
79.0.0.0/8
80.0.0.0/5
88.0.0.0/7
90.160.0.0/12
91.0.0.0/8
92.0.0.0/6
109.0.0.0/8
158.109.0.0/16
178.0.0.0/8
188.0.0.0/8
193.0.0.0/8
194.0.0.0/7
212.0.0.0/7
217.0.0.0/8
Aunque últimamente, es por troyanos en los pc's de los usuarios. Me suben scripts por ftp (relayers de spam), y suelen ser minutos después de haberse logueado el usuario verdadero desde una ip española.
En primer lugar iría aceptando las conexiones ya establecidas: -m state --state RELATED,ESTABLISHED -j ACCEPT
Ya solo me quedarían las NEW y cosas raras, que entrarían al filtro.
Por cierto, acabo de encontrar un script, que me une las que son consecutivas: aggregate-cidr-addresses. Menos da una piedra.
Respecto a tu ip, pues es cierto, y bien claro que pone ES en su registro, pero no sale en ninguna de las listas geo-ip que tengo. Es por eso, de poner una página web y un redirect a ella, para que los afectados puedan informar.
Afinando aún mas, podría filtrar primero por el primer octeto. El rango super-simplificado sería este (y con solo eso, ya me quitaría china, rusia, ...):
2.0.0.0/8
46.0.0.0/8
62.0.0.0/8
77.0.0.0/8
79.0.0.0/8
80.0.0.0/5
88.0.0.0/7
90.160.0.0/12
91.0.0.0/8
92.0.0.0/6
109.0.0.0/8
158.109.0.0/16
178.0.0.0/8
188.0.0.0/8
193.0.0.0/8
194.0.0.0/7
212.0.0.0/7
217.0.0.0/8
Kilburn
09/11/2010, 13:48
Puf, una idea un poco radical. Siento no poder ayudarte con scripts/etc, pero un par de comentarios:
(1) En ese listado faltan IP's. Yo trabajo en la autonoma de barcelona, que tiene todo el rango "158.109.0.0/16" y no aparece en la lista.
(2) Si al final lo tiras para adelante, asegúrate de bloquear solo las conexiones nuevas. Así te ahorrarás el lookup para todos los paquetes de conexiones ya establecidas (que habrán pasado el filtro antes).
(1) En ese listado faltan IP's. Yo trabajo en la autonoma de barcelona, que tiene todo el rango "158.109.0.0/16" y no aparece en la lista.
(2) Si al final lo tiras para adelante, asegúrate de bloquear solo las conexiones nuevas. Así te ahorrarás el lookup para todos los paquetes de conexiones ya establecidas (que habrán pasado el filtro antes).
Diablo48
09/11/2010, 11:21
La solucion no creo que sea cerrar el acceso, si tiene vulnerabilidades, antes o despues ips españolas teminaran dandole problemas, la solucion sera arreglar los scripts creo yo vamos...
Yo mas que cerrar todo y abrir solo a españa, cerraria de los paises que si recibes, como china, rusia, etc bloqueas un par de paises de los cuales posiblemente robots de buscadores ni siquiera entren ips de esos paises y te ahorras mas problemas, porque no creo que sea facil hacerse con una lista de todas las ips/rangos de todos los buscadores.
Yo mas que cerrar todo y abrir solo a españa, cerraria de los paises que si recibes, como china, rusia, etc bloqueas un par de paises de los cuales posiblemente robots de buscadores ni siquiera entren ips de esos paises y te ahorras mas problemas, porque no creo que sea facil hacerse con una lista de todas las ips/rangos de todos los buscadores.
PacoSS
09/11/2010, 09:55
Tengo un cliente harto ya de inyecciones sql, escaneos, vulnerabilidades de php, ... y siempre son ip's de fuera (rusia, chequia, turkia, ...) y me ha pedido que cierre su VPS a ip's españolas (+google, bing, yahoo, etc ...).
Obviamente, cerraría el acceso web/https (80,443), ftp (21) y lectura de correo (110). O mejor cierro absolutamente todo excepto DNS y correo.
El listado de ip's españolas lo he sacado fácilmente de varios sitios, son 487 reglas en total y ando buscando algún script que me los simplifique. Incluso si puedo meter 4 o 5 rangos en uno, aunque haya huecos entre ellas, no pasaría nada. Me gustaría simplificar por cuestión de rendimiento y cpu.
Si algun gurú del foro tiene experiencias al respecto, scripts que auto-actualizan las ip's, ... se agradecería.
Pienso también que sería interesante redirigir cualquier petición http a una pagina que ponga "esta web no está disponible para su pais" con un email de contacto, aunque me cueste una ip exclusiva el hacerlo.
He subido el fichero con los rangos de españa ordenados, por si alguno quisiera hacer pruebas: Rango ip's España ordenado
Obviamente, cerraría el acceso web/https (80,443), ftp (21) y lectura de correo (110). O mejor cierro absolutamente todo excepto DNS y correo.
El listado de ip's españolas lo he sacado fácilmente de varios sitios, son 487 reglas en total y ando buscando algún script que me los simplifique. Incluso si puedo meter 4 o 5 rangos en uno, aunque haya huecos entre ellas, no pasaría nada. Me gustaría simplificar por cuestión de rendimiento y cpu.
Si algun gurú del foro tiene experiencias al respecto, scripts que auto-actualizan las ip's, ... se agradecería.
Pienso también que sería interesante redirigir cualquier petición http a una pagina que ponga "esta web no está disponible para su pais" con un email de contacto, aunque me cueste una ip exclusiva el hacerlo.
He subido el fichero con los rangos de españa ordenados, por si alguno quisiera hacer pruebas: Rango ip's España ordenado