Помогите с блокировкой IP

[zed1]

Всем привет.
Возникает необходимость время от времени блокировать "вредные" IP на сервере (стоит freebsd).
Каким образом можно это осуществить на уровне nginx или apache или ещё чего, чтобы добавить 1 IP и он не был доступен всем сайтам на фрибсд..
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

в апаче
Deny from IP
или фаерволом....

[vadim64]

Какой фаерволл у вас работает? Работает ли он у вас вообще? Какого рода вы хоти сделать запрет? чтобы аддресс не мог зайти на сайты или полный блок?

[zed1]

Фаервола нет.
Желательно полный блок.

[vadim64]

какой фаервол будем ставить?

[vadim64]

и сразу вопросы:
какая версия системы? проводилось ли обновление исходных кодов системы?

[zed1]

в апаче
Deny from IP
или фаерволом....

В httpd.conf написал:
Deny from плохой_ип

перезапускаю апач,пишет:
Syntax error on line 30 of /usr/local/etc/apache22/httpd.conf:
deny not allowed here

[vadim64]

убери нах оттуда и отвечай на вопросы

[zed1]

и сразу вопросы:
какая версия системы? проводилось ли обновление исходных кодов системы?

Мне бы ipfw поставить)
Стоит FreeBSD 8
Нет, не производилось

[vadim64]

Так. Берёшь, пишешь в консоли

Код: Выделить всё

ee /etc/supfile

Открывается редактор. Там набираешь примерно так:

Код: Выделить всё

*default host=cvsup4.ru.FreeBSD.org
*default base=/var/db
*default prefix=/usr 
*default release=cvs tag=RELENG_8_0
*default delete use-rel-suffix
*default compress
src-all

выходишь из редактора(последовательное нажатие клавиш Esc, "ф" и ещё раз "ф")и пишешь в консоли

Код: Выделить всё

csup -g -L 2 /etc/supfile

[zed1]

Так. Берёшь, пишешь в консоли

Код: Выделить всё

ee /etc/supfile

Открывается редактор. Там набираешь примерно так:

Код: Выделить всё

*default host=cvsup4.ru.FreeBSD.org
*default base=/var/db
*default prefix=/usr 
*default release=cvs tag=RELENG_8_0
*default delete use-rel-suffix
*default compress
src-all

выходишь из редактора(последовательное нажатие клавиш Esc, "ф" и ещё раз "ф")и пишешь в консоли

Код: Выделить всё

csup -g -L 2 /etc/supfile

Процесс пошёл, долго ждать?

[zed1]

И что за действия происходят?

[vadim64]

Процесс пошёл, долго ждать?

Не перебарщивай с замажками под делетанта. Ждать, по логике, пока на экране не появится что то типа "комплит" или "финишт". Процесс может быть долгим если старая версия дистрибутива была установлена, от 22 ноября.

[vadim64]

Происходит скачка с зеркал серверов с исходным кодом системы новых версий файлов исходного кода системы. Потом подправим ваш конфиг ядра чтоб там была поддержка IPFW, пересоберём его, установим новое ядро с фаерволом внутри. и настроим блокировку и ваабще всё что угодно.

[zed1]

Хорошо, ждёмс

[vadim64]

Мне нравится этот раздел))))

[vadim64]

Пока можете прикинуть какие правила в фаерфоле вам нужны? какие службы работают на сервере? каким сетям какие возможности доступа вы хотите предоставить?

[zed1]

Пока можете прикинуть какие правила в фаерфоле вам нужны? какие службы работают на сервере? каким сетям какие возможности доступа вы хотите предоставить?

Вот такое:

Код: Выделить всё

    ipfw add deny ip from IP to me

Службы:
Clamav-freshclam
DNS
FTP
HTTP
MySQL
Nginx
POP3
SMTP

Последний вопрос не совсем понял

Закончилось:

Код: Выделить всё

Shutting down connection to server
Finished successfully

[vadim64]

Ядро какое щас стоит?
uname -a вывод покажите

[zed1]

Извините, где арендую опять проблемы, как только восстановится работа - сразу напишу (максимум минут 30)

[vadim64]

Кароче, в выводе команды

Код: Выделить всё

uname -a

найдёте где лежит конфиг ядра. Судя по вашим вопросам и ответам это будет /usr/src/sys/i386/conf/GENERIC. Правите его с помощью программы ee

Код: Выделить всё

ee /usr/src/sys/i386/conf/GENERIC

Ищите там строки типа

Код: Выделить всё

options         KBD_INSTALL_CDEV        # install a CDEV entry in /dev
options         HWPMC_HOOKS             # Necessary kernel hooks for hwpmc(4)
options         AUDIT                   # Security event auditing
options         MAC                     # TrustedBSD MAC Framework
options         FLOWTABLE               # per-cpu routing cache
#options        KDTRACE_HOOKS  

После них

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10000

И идёте читать раздел хэндбука про сборку и установку ядра Сборка и установка собственного ядра А я на обед скоро. Наслаждайтесь.

[vadim64]

Вас интересует сразу раздел сборка

...
Теперь вы должны скомпилировать ядро.

Сборка ядра

1. Перейдите в каталог /usr/src:
...
# cd /usr/src

[zed1]

При этом мои данные не пропадут?

[zed1]

И ещё, команда uname -a
мне показала следующее:
FreeBSD site.ru 8.1-STABLE FreeBSD 8.1-STABLE #0 r18M: Tue Jul 27 17:08:10 IRKST 2010 root@freebsd8-amd64.ispsystem.net:/root/src/sys/amd64/compile/DE BUG amd64

[vadim64]

При этом мои данные не пропадут?

Всмысле? какие данный вы храните в системных папках? Но если чёто ответственное на сервере есть то лучше бэкапчик куда нить сделать и вот это почитать для уверености и понимания. Если это вы щас учитесь на рабочем сервере то советую прочитать все сообщения в теме и упомянутые материалы внимательно и сделать заметки на бумаге.