geoip?

[Alexandr_]

Недавно собрал себе маршрутизатор и оживил следующим по: Ubuntu Server 12.04, iptables+GEOIP+arno-iptables-firewall

таблицами управляю из под arno просто мне так проще.

Мой конфиг custom-rules arno-iptables-firewall
##########################################################
#США (Зарубеж)
iptables -I INPUT ! -i lo -m geoip ! --src-cc US -j DROP
##########################################################
#Латвия,Литва,Эстония (Прибалтика)
iptables -I INPUT ! -i lo -m geoip ! --src-cc LV,LT,EE -j DROP
#########################################################
#Россия,Украина,Белоруссия
iptables -I INPUT ! -i lo -m geoip ! --src-cc RU,UA,BY -j DROP
#########################################################
#Грузия,Азербайджан,Армения (Кавказ)
iptables -I INPUT ! -i lo -m geoip ! --src-cc GE,AZ,AM -j DROP
##########################################################
#Казахстан, Узбекистан,Киргизия,Туркмения (Средняя Азия)
iptables -I INPUT ! -i lo -m geoip ! --src-cc KZ,UZ,TJ,KG,TM -j DROP
#########################################################

Это как вариант, оградить сайт от лишнего трафика, в плоть до возможности отразить небольшую ddos атаку на сайт.

Ваши мнения по поводу данного модуля, в качестве анти-ddos и частично анти-спама?

[135]

Хороший ddos имеет очень распределённую ботнет, бывает что "клиенты" прут из своей же сети.
Очень хороший ddos имеет динамическое поведение практически не отличимое от поведения обычных пользователей.

В начале пути к просвещению практически все проходят этап нигилизма, важно побыстрее его пережить и шагнуть в следующий этап, этап глубокого познания.

[Sumanai]

Это как вариант, оградить сайт от лишнего трафика,

Лучший способ оградить- отключить его совсем. Остальное полумеры. Блокировка по странам не имеет смысла.

[Alexandr_]

Лучший способ оградить- отключить его совсем.

Вот тут я категорически не соглашусь. Случаи бывают разные, и сайты тоже, и судя по статистики iua мой сайт посещает 95% Это Украина и Россия. Есть даже точная локация по городам Украины. И это стабильно, на протяжении не одного года. Так к примеру в моем случае я вообще могу закрыть всё кроме

Код: Выделить всё

iptables -I INPUT ! -i lo -m geoip ! --src-cc RU,UA,BY,GE,KZ,US -j TARPIT

Это более 90% всего трафика. А вот судя по логам, более 60% негативного трафика это Азия. В основном Китай.

К тому же этот метод дает возможность локализовать ddos. И он ГОРАЗДО менее затратный, нежели другие варианты основанные на логах сервера и работающего с кучей правил.

[135]

Помнится совсем недавно тут уже была подобная формулировка (100% рабочий метод, 100% отсев спамеров)...

[Alexandr_]

Помнится совсем недавно тут уже была подобная формулировка (100% рабочий метод, 100% отсев спамеров)..

В поисках и экспериментах рождается верное решение. Мне конструктивно ответили, привели все за и против. Я для себя сделал выводы. Тем более я явно дал понят что это всего лишь идея. Которую я буду развивать и которая в боевых условиях докажет свою эффективность. К стати, на форуме есть ещё одна моя статья которую я не развил, про проверку ключа UA. Который я доработал окончательно. Идея в процессе написания поста стала вполне рабочей защитой админ акк.

ошибку в слове ключ я заметил (исправил):smile:

Да и к слову, данная тема (про Geoip+nginx, php, iptables) неоднократно поднималась на просторах интернет и она как бы и не нуждается в обсуждении. Но! phpbb очень тяжелая и достаточно сложная и требовательная система. Если вам повезло создать посещаемый форум то хостинг обыкновенный уже не поможет. И вот тогда начнется самое интересное. О чем на этом форуме написано мало.

Добавлено спустя 38 минут 39 секунд:

Помнится совсем недавно тут уже была подобная формулировка (100% рабочий метод, 100% отсев спамеров)...

Я не заметил в данном посте подобной формулировки. И это не агитация, а просто обсуждение.

[Sumanai]

Вот тут я категорически не соглашусь

А я гарантирую, что на отключённый сервер нельзя совершить ддос атаку

[Alexandr_]

А я гарантирую, что на отключённый сервер нельзя совершить ддос атаку

Сервер c web находиться за NAT-ом. Так что мне не холодно не жарко от того что он будет выключен. Атаку примет буферный сервер, маршрутизатор который мне выключать не нужно. Я через него выхожу в инет. Достаточно на время отключить инет, и уже через локалку работать с сервером что бы понять характер атаки, анализируя логи. отразить такую атаку вполне возможно. И поможет в этом iptables+geoip+nginx хотя универсального решения я так понял всё равно нет.

[Sumanai]

отразить такую атаку вполне возможно.

Какую такую? Я потерял нить разговора.
И да, не каждую атаку можно отразить. Это я знаю точно.

[Alexandr_]

Какую такую? Я потерял нить разговора.

Ну это уже логи покажу какую такую(ддос) атаку, и какими средствами, придется блокировать.

И да, не каждую атаку можно отразить. Это я знаю точно.

И нет, любую атаку можно отразить. Плохо знаете.

И да, не каждую атаку можно отразить.

Вы про что? Я полагаю про ддос? Теперь я потерял нить разговора

Если вы про ддос.
Основные способы:
переключить на резервный канал (ip).
Проксирование трафика через фильтры.

ддос дорогое удовольствие, ровно как и противодействие атаке. К примеру Гугл, Яндекс, под постоянным ддосом. Способность выдерживать колоссальные нагрузки, есть фундаментом любого крупного интернет проекта.

ЗЫ. Противоречие понятий: Нет такой атаки которую нельзя отразить, нет такой защиты которую нельзя пробить.

[Sumanai]

К примеру Гугл, Яндекс, под постоянным ддосом.

У них ресурсы. И да, даже гугл ложился под ддосом.
Вообще, не вижу смысла в разговоре. Подобные атаки, как и защита от них, это совсем не уровень обычного форума. Смысл это обсуждать тут?

[Alexandr_]

Подобные атаки, как и защита от них, это совсем не уровень обычного форума

То есть phpbb это обычный движок, а форумы на phpbbex, самые обычные, никогда не будут под ддосом а если и будут, то нужно выключить сервер и не морочить себе мозг?

[Sumanai]

То есть если форум дорос до того, что кто- то раскошелился на ддос, то владелец этого крупного форума уже знает, где искать помощь, или уже знает что делать.
А для мелких форумов, если вдруг кто их будет ддосить, действительно, выключение- лучший выход. Точнее их хостер вырубит за перегруз (и спрашивать не будет), а доступа к iptables на шаред хостинге всё равно нет, и его админ в любом случаи ничего не сможет сделать.

[Alexandr_]

с

А для мелких форумов, если вдруг кто их будет ддосить, действительно, выключение- лучший выход. Точнее их хостер вырубит за перегруз (и спрашивать не будет), а доступа к iptables на шаред хостинге всё равно нет, и его админ в любом случаи ничего не сможет сделать.

Всё верно, только вот самой темой подразумевалось что форум вырос с шаред хостинга. И переехал на своё железо, после того как хостер после первого же ддоса или высоких нагрузок заблокировал родной ресурс. А для форума на phpbb это неизбежно. Причем скорее рано чем поздно. И совсем не обязательно что форум переедит на колокейшн илу ВДС. На дворе 2013-14 год высоко скоростной интернет сейчас есть практически в любом более менее крупном населенном пункте. К примеру мой провайдер за небольшие деньги дает мне Gigabit Ethernet сумарно до 300 Мбит/с + 2белых-IP. Для своего проекта хватает с головой. За колокейшн пришлось бы выложить в 3 раза больше, и это только за за 1u.

[Sumanai]

А для форума на phpbb это неизбежно. Причем скорее рано чем поздно.

Это неизбежно для любого растущего форума. И я не считаю, что по нагрузке phpbb чем- то выделяется.

К примеру мой провайдер за небольшие деньги дает мне Gigabit Ethernet сумарно до 300 Мбит/с + 2белых-IP. Для своего проекта хватает с головой. За колокейшн пришлось бы выложить в 3 раза больше, и это только за за 1u.

Ну что же, вам повезло. Для меня 100 мегабит и один белый айпи будет стоить почти 1000 рублей, не считая трат на электричество. За эти деньги я возьму приличный выделенный сервер с гарантией работы 24 часа в сутки, ибо у меня свет отрубается чаще, чем в датацентре уровня TIER 1.
Про остальных молчу. Только диалап вымер, а белые айпи вообще единицы дают.

[VEG]

Ребят, я вам сейчас расскажу, какой у меня интернет. Исходящая скорость — 512 килобит Больше не даёт мой провайдер. Да, 2013-2014 год. Да, не так уж и много в мире мест с очень дешёвым и быстрым интернетом.

Добавлено спустя 1 минуту 34 секунды:
А блочить клиентов по диапазонам IP без острой необходимости — глупость. Сам несколько раз сталкивался с тем, что не мог пользоваться какими-то сайтами из-за таких горе-админов, и не могу их за это похвалить.

[135]

К примеру мой провайдер за небольшие деньги дает мне Gigabit Ethernet сумарно до 300 Мбит/с + 2белых-IP. Для своего проекта хватает с головой. За колокейшн пришлось бы выложить в 3 раза больше, и это только за за 1u.

Ого!

Ошибся я.. думал человек развивается, а он чушь попороть зашёл.

[Alexandr_]

Ошибся я.. думал человек развивается, а он чушь попороть зашёл.

Посмотрите http://o3.ua/ru/telefonyja.html Раздел 1Гбит/c.
Вообще как говорил дедушка Ленин "Век живи, век учись".
Лично я не считаю себя it-шником, не считаю, и никогда не считал, так как заканчиваю второе высшее, в области права. И собираюсь работать именно в єтой области. Но почему то я думаю что багаж опыта в области IT у меня поболее вашего. Конечно я могу и ошибаться.

[135]

думаете? -)) нуну -) думайте -), но лучше бы вы попробовали работать руками, вдруг получилось бы лучше -).

Что касается поболе/помене, не буду раскрывать вам свою профессию и стаж, лучше поделюсь цитатой, которую буквально вчера прочитал в ежедневнике. Не дословно, но суть: "я не так молод, чтобы считать что всё знаю".

Удачи -).

[Alexandr_]

Я приношу свои извинения если я по вашему мнению не прав. Я не знаю кто ві, сколько вам лет, и кто ві по профессии. Но ваше утверждение что я развиваюсь а вы всезнающий гуру (вырвал из контекста), натолкнуло меня на мысль что вы ничего не знаете. Да будь ві хоть сам Брєм Коен или Сергей Брин. Меня єто совершенно не удивит У меня руками действительно иногда получается лучше чем мозгами.