비슷한 IP를 가진 중국의 해킹 시도에 총격을 당하고 있습니다.
116.10.191. * 등으로 IP 범위를 어떻게 차단합니까?
Ubuntu Server 13.10을 실행 중입니다.
현재 사용중인 라인은 다음과 같습니다
sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP
이렇게하면 한 번에 하나씩 만 차단할 수 있지만 해커는 시도 할 때마다 IP를 변경합니다.
비슷한 IP를 가진 중국의 해킹 시도에 총격을 당하고 있습니다.
116.10.191. * 등으로 IP 범위를 어떻게 차단합니까?
Ubuntu Server 13.10을 실행 중입니다.
현재 사용중인 라인은 다음과 같습니다
sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP
이렇게하면 한 번에 하나씩 만 차단할 수 있지만 해커는 시도 할 때마다 IP를 변경합니다.
답변:
116.10.191. * 주소를 차단하려면 :
$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP
116.10. *. * 주소를 차단하려면
$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP
116. *. *. * 주소를 차단하려면 :
$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP
그러나이 방법을 사용하여 차단하는 것을주의하십시오. 합법적 인 트래픽이 호스트에 도달하는 것을 방지하고 싶지 않습니다.
편집 : 지적했듯이 iptables는 규칙을 순차적으로 평가합니다. 규칙 세트에서 상위 규칙은 규칙 세트에서 하위 규칙보다 먼저 적용됩니다. 따라서 규칙 세트에 해당 트래픽을 허용하는 규칙이 더 높은 iptables -A
경우 DROP 규칙 을 추가 하면 의도 된 차단 결과가 생성되지 않습니다. 이 경우 iptables -I
규칙 중 하나를 삽입 ( )하십시오.
sudo iptables -I ...
sudo iptables --line-numbers -vnL
규칙 번호 3에 ssh 트래픽이 허용되고 ip 범위에 대해 ssh를 차단하려고합니다. -I
새 규칙을 삽입하려는 규칙 세트의 위치 인 정수의 인수를 사용합니다.
iptables -I 2 ...
sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP
범위를 차단합니다. 필요에 따라 동일한 일반 형식으로 서브넷을 확장 할 수 있습니다.
대체 방법으로 fail2ban과 같은 간단한 것을 사용할 수 있습니다. 연속적인 실패한 로그인 시도에 대한 시간 초과를 설정하고 시간 초과 당 몇 번의 기회 만 얻기 때문에 무차별 실행을 불가능하게합니다. 시간 제한을 30 분으로 설정했습니다. 한두 시간이 지나면 그들은 앞으로 나아갈 수 없다는 것을 깨닫습니다.
89.248.x.x
는 하루 종일 마지막 시도로부터 약 1 시간 후에 다른 이메일 로그인을 계속 시도합니다. 분명히 findtime
fail2ban을 30 분으로 유지하는 것만으로는 더 이상 모든 불쾌한 대본을 키울 수 없습니다.