Doporučujeme: Služby na web | NEJLEPŠÍ PŘEDPOVĚĎ POČASÍ | SUDOKU | Měření rychlosti internetu | TV program | Stahovač videí z YouTube

Můj blog – až 10 % špičkového kódu navíc!

Kompletní blokace Číny

Datum: 3. 1. 2024 7.51 | Autor: Lukáš | 6680× | Kategorie: Software | Komentáře: 2

Jde o SYN flood útok. Je potřeba mít plně funkční Debian 12 (jádro 6.1.0-17 nebo novější).

Je tam například PHP 8, takže to vyžaduje udělat hodně změn, ale funguje to! Řešení: https://www.ookangzheng.com/block-china-ip-by-iptables/ (a úplně stejně se dají zablokovat i další země).

A hodně důležitá věc: https://kodeslogic.medium.com/how-to-fix-nf-conntrack-table-full-dropping-packet-a5fedc6c463d - je pro novější Debiany.

Součástí řešení je i blokace dotyčných zemí. POZOR: rozhodně používat ipset, protože iptables během chvíle přetíží server (netestováno v novém Debianu, ale takhle to "fungovalo" dřív).

ipset -N cn hash:net

myArray=("cn" "vn" "mo" "ph" "mm" "hk" "kh" "ma" "ru" "la" "ve" "kr" "sg" "jp" "bs" "th" "tj" "sa" "ao" "gh" "eg" "ke" "ng" "et" "tw" "kw" "my" "pk" "mx" "zm" "zw" "mu" "cr" "bd" "iq" "sr" "mg" "na" "za" "nz" "mn" "gf" "vu" "as" "ar" "cg" "tz" "cd" "pa" "mz" "uz" "ne" "sn" "ae" "ir" "cm" "gq" "ag" "cv") # jsou tam i africké země, ale i ty jsou součástí útoku

for str in ${myArray[@]}; do

    rm -rf /root/cn/$str.zone
    wget -P /root/cn http://www.ipdeny.com/ipblocks/data/countries/$str.zone
    for i in $(cat /root/cn/$str.zone ); do ipset -A cn $i; done

done

/sbin/iptables-restore < /etc/iptables/rules.v4
iptables -A INPUT -m set --match-set cn src -j DROP # MUSÍ být -A, ne -I

JE POTŘEBA VŠE PROVÉST ÚPLNĚ PŘESNĚ!




Komentáře:

  1. xxx12. 3. 2023 2.08

    Zdravím,

    je možno na Vás získat nějaký kontakt?

    Na webu nemohu nikde žádný najít :)

    Děkuji.



    odpovědět
  2. Lukáš12. 3. 2023 19.02

    No jasně. Bez problému. Kontakt je i přímo na hlavních stránkách: https://vsevjednom.cz/?page=o-webu



    odpovědět
  3. Carpet Cleaning30. 6. 2023 8.49

    nice blog great information



    odpovědět
  4. Lukáš18. 1. 2024 5.14

    Aktuální blokace v nejnovějším Debianu, je to takové velmi jednoduché: https://djlj.mujblog.info/software/kompletni-blokace-ciny



    odpovědět

Přidat nový komentář:




Ochrana proti spamu. Napiš prosím číslici pět: