Me bombardean con intentos de pirateo desde China, todos con IP similares.
¿Cómo bloquearía el rango de IP con algo como 116.10.191. * Etc.
Estoy ejecutando Ubuntu Server 13.10.
La línea actual que estoy usando es:
sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP
Esto solo me permite bloquear cada uno a la vez, pero los piratas informáticos están cambiando las IP en cada intento.
Respuestas:
Para bloquear las direcciones 116.10.191. *:
$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP
Para bloquear las direcciones 116.10. *. *:
$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP
Para bloquear 116. *. *. * Direcciones:
$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP
Pero tenga cuidado con lo que bloquea usando este método. No desea evitar que el tráfico legítimo llegue al host.
editar : como se señaló, iptables evalúa las reglas en orden secuencial. Las reglas superiores en el conjunto de reglas se aplican antes que las inferiores en el conjunto de reglas. Entonces, si hay una regla más alta en su conjunto de reglas que permite dicho tráfico, entonces agregar (
iptables -A
) la regla DROP no producirá el resultado de bloqueo deseado. En este caso, inserte (iptables -I
) la regla:sudo iptables -I ...
sudo iptables --line-numbers -vnL
digamos que muestra que la regla número 3 permite el tráfico ssh y desea bloquear ssh para un rango de ip.
-I
toma un argumento de un número entero que es la ubicación en su conjunto de reglas donde desea que se inserte la nueva reglaiptables -I 2 ...
fuente
sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP
Esto bloquea el rango. Puede expandir la subred según sea necesario con el mismo formato general.
fuente
Como un enfoque alternativo, podría usar algo tan simple como fail2ban. Establece un tiempo de espera para intentos de inicio de sesión fallidos sucesivos y hace que la fuerza bruta sea inviable, ya que solo tienen unas pocas oportunidades por tiempo de espera. Establecí mi tiempo de espera en 30 minutos. Cuando llegan una o dos horas, se dan cuenta de que no podrán avanzar y darse por vencidos.
fuente
89.248.x.x
que sigue probando diferentes inicios de sesión de correo electrónico aproximadamente una hora después del último intento, durante todo el día. Aparentemente, mantener elfindtime
fail2ban en 30 minutos ya no es suficiente para mantener a todos los niños desagradables del script.