Помогите с блокировкой IP

[vadim64]

И ещё, команда uname -a
мне показала следующее:
FreeBSD site.ru 8.1-STABLE FreeBSD 8.1-STABLE #0 r18M: Tue Jul 27 17:08:10 IRKST 2010 root@freebsd8-amd64.ispsystem.net:/root/src/sys/amd64/compile/DEBUG amd64

Систему вы настраивали? Посмотрите в папке /usr/src/sys/amd64/conf/ файл DEBUG и сюда его.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zed1]

Там нет такого файла)

[Dog]

И ещё, команда uname -a
мне показала следующее:
FreeBSD site.ru 8.1-STABLE FreeBSD 8.1-STABLE #0 r18M: Tue Jul 27 17:08:10 IRKST 2010 root@freebsd8-amd64.ispsystem.net:/root/src/sys/amd64/compile/DE BUG amd64

/root/src/sys/amd64/compile/DEBUG Это как??? В /root это находиться точно не должно. Кто и каким образом настраивал систему?
Попробуй сделать поиск по всему дереву каталогов, начиная от корня, файла DEBUG (find / -name 'DEBUG'), а заодно что в /etc/make.conf ?

[E-Wind]

С места в карьер )
Все же некоторые вещи типа сборки мира лучше сначала пробовать гонять на виртуалке...

Правите его (GENERIC) с помощью программы ee

Generic лучше не трогать - сделать копию и править, хотя там в статье об этом написано...

[zed1]

Есть какие-нибудь модули для апача или nginx чтобы не было доступа к сайту?

[E-Wind]

Желательно полный блок

Для решения проблемы ipfw можно подгрузить и на ходу, модулем, не обязательно его в ядро компилировать, раз есть некоторые сложности...

Сборку мира и ядра стоит погонять на виртуалке (рек.) или подопытной машине. На боевом сервере что-то делать без четкого представления последствий не надо!

Возникает необходимость время от времени блокировать "вредные" IP на сервере (стоит freebsd).

В чем проявляется "вредительство"? Отсюда и надо плясать.

где арендую опять проблемы, как только восстановится работа - сразу напишу (максимум минут 30)

Сервер целиком (физический) или виртуальный сервер?
Есть ли физический доступ к серверу, ip-kvm или только ssh?
Иногда при удаленной настройке фаервола можно потерять удаленный доступ к машине...

[zed1]

"вредные ip" забрасывают http флудом от чего nginx выдаёт ошибку..
Физ. доступа нет.

[xaltypuh]

как-то странно что никто не предложил блокировку роутингом, сразу ипфв или пф ваять : ), оно конешно более правильно и полезно но...
просто пишем route add -host x.x.x.x адрес_несуществующего_сервера и вуаля
от входящих пакетов это не убережет, но ответа злодей никогда не получит, даже не получит icmp что порт заблокирован, просто черная дыра
пользую такое периодически хоть под венду хоть под бсд - работает

[E-Wind]

Может правильней сначала настроить nginx, например покрутить опции вроде этой http://sysoev.ru/nginx/docs/http/ngx_ht ... odule.html , http://sysoev.ru/nginx/docs/http/ngx_ht ... odule.html и аналогичные...

Если не поможет, далее прикручивать анализатор логов и уже добавлять ip злоумышленника в таблицу, которую блокировать...

Лог nginx будет полезен.. >

[zed1]

как-то странно что никто не предложил блокировку роутингом, сразу ипфв или пф ваять : ), оно конешно более правильно и полезно но...
просто пишем route add -host x.x.x.x адрес_несуществующего_сервера и вуаля
от входящих пакетов это не убережет, но ответа злодей никогда не получит, даже не получит icmp что порт заблокирован, просто черная дыра
пользую такое периодически хоть под венду хоть под бсд - работает

Спасибо, но когда пытаюсь написать

Код: Выделить всё

route add -host 24.24.24.25 111.111.111.222

мне пишет:

Код: Выделить всё

route: writing to routing socket: Operation not permitted

[zed1]

Может правильней сначала настроить nginx, например покрутить опции вроде этой http://sysoev.ru/nginx/docs/http/ngx_ht ... odule.html , http://sysoev.ru/nginx/docs/http/ngx_ht ... odule.html и аналогичные...

Если не поможет, далее прикручивать анализатор логов и уже добавлять ip злоумышленника в таблицу, которую блокировать...

Лог nginx будет полезен.. >

Логи вчера почистил..
Не подскажите, как их ставить? Просто строчки приписывать строки в конфиг, например эти:
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

...

server {

...

location /search/ {
limit_req zone=one burst=5;
}


и всё?

[E-Wind]

Не подскажу, поскольку с nginx никогда не работал до этого...
Попробуйте поискать на тему тюнинга nginx под большую нагрузку, защиту от.. ~

[zeus4all]

самое простое акромя роутера,думаю только перераскрутка Apache и там Deny from в секуии директорий, однако не говорю что nginx подобного не умеет, простоя им никогда не пользовался =(

[zed1]

самое простое акромя роутера,думаю только перераскрутка Apache и там Deny from в секуии директорий, однако не говорю что nginx подобного не умеет, простоя им никогда не пользовался =(

Я в сообщении выше писал:

В httpd.conf написал:
Deny from плохой_ип

перезапускаю апач,пишет:
Syntax error on line 30 of /usr/local/etc/apache22/httpd.conf:
deny not allowed here

[zeus4all]

Я в сообщении выше писал:

перевожу "Ошибка синтаксиса", где Вы ее написали??? в той ли секции??? у меня ан работе не т Web вообще такчто мне даже скопировать не откуда....тк что придется искать самому.

[zed1]

Написал в самом верху httpd.conf :

Deny from 24.2.1.2

[zeus4all]

вообще мое мнение то что баном по ip ситуацию не поправишь, злоумышленник может его менять или подменять умышленно, но все же по теме: дай весь httpd.conf (Надеюсь он скромных разхмеров). Однозначно написано строчка не там . имхо

[thefree]

Написал в самом верху httpd.conf :

Deny from 24.2.1.2

почитайте про .htaccess в apache

а вообще в ipfw использовать на 80й порт keep-state

[E-Wind]

И nginx-а тогда уже конфиг...

Зачем тогда он вообще нужен, фронтенд?

[zeus4all]

а вообще в ipfw использовать на 80й порт keep-state

[/quote]
если чесно думаю Вам именно это и нужно.

[zeus4all]

почитайте про .htaccess в apache

а если у него публичный??? что ему все пасы раздавать???нет ну если нет если приватный там "для себя любимого и КО" то кстати тоже вариант через .hta...

[zeus4all]

Да а что в логаз было у ng когдатот падал??? мб скажем обновлением последнего дыра закроется? мб он не от перегрузок умирал???мб стоит копнуть по етому направлениею??

[zed1]

Да а что в логаз было у ng когдатот падал??? мб скажем обновлением последнего дыра закроется? мб он не от перегрузок умирал???мб стоит копнуть по етому направлениею??

помогите, пожалуйста, лучше с httpd.conf, какие строки туда добавлять..

[zeus4all]

<Directory /usr/local/hosting/sites/hosting/www>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order deny,allow
Allow from all
</Directory>
в подобной области Deny'йкай.

[xaltypuh]

как-то странно что никто не предложил блокировку роутингом, сразу ипфв или пф ваять : ), оно конешно более правильно и полезно но...
просто пишем route add -host x.x.x.x адрес_несуществующего_сервера и вуаля
от входящих пакетов это не убережет, но ответа злодей никогда не получит, даже не получит icmp что порт заблокирован, просто черная дыра
пользую такое периодически хоть под венду хоть под бсд - работает

Спасибо, но когда пытаюсь написать

Код: Выделить всё

route add -host 24.24.24.25 111.111.111.222

мне пишет:

Код: Выделить всё

route: writing to routing socket: Operation not permitted

наверно нада указывать шлюзом хост в своем сегменте всетаки
?