Блокировка нежелательных обращений к серверу

Наверняка Ваш файрвол уже имеет внесенные в него правила. Этот список можно получить, введя команду iptables -l:

Нам будет необходимо создать новую цепочку, куда мы будем заносить нежелательные IP-адреса. Для этого используем команду:

iptables -N attackers

Затем обеспечим обязательное прохождение через эту цепочку всех запросов к серверу:

iptables -I INPUT 0 -j attackers

Теперь добавлением в цепочку attackers IP-адресов и подсетей можно блокировать любые обращения с них. Чтобы блокировать обращения с IP 58.60.45.1 нужно ввести команду:

iptables -A attackers -s 58.60.45.1 -j DROP

Однако этого может оказаться мало. Если компьютер 58.60.45.1 находится в нежелательной сети, и нежелательные запросы исходят из всей сети, нужно блокировать всю подсеть. При помощи команды whois можно узнать весь диапозон этой сети. Блокировать подсеть можно указывая ее маску:

iptables -A attackers -s 58.60.0.0/16 -j DROP

Теперь любые запросы с IP 58.60.*.* будут отброшены.

Вот список наиболее используемых масок подсетей для справок:

58.60.0.0/8 означает 58.*.*.*
58.60.0.0/16 означает 58.60.*.*
58.60.0.0/24 означает 58.60.0.*
58.60.0.0/32 означает 58.60.0.0

Не будем останавливаться на том, как вычислять злоумышленников, отметим лишь, что многое можно узнать из файлов логов доступа и ошибок, например из файла /var/log/messages. Выделить список уникальных IP, обращающихся к веб-серверу можно при помощи команды:

cat /var/log/httpd/access_log | cut -f 1 -d | sort| uniq