[uanog] Chain BLACKLIST

Volodymyr Litovka doka at xlit.one
Mon Nov 4 18:32:17 EET 2019 

Привет

фильтрами не отвертишься - весь интернет придется закрывать. Можно 
переместить обработку этих коннектов с MTA на ядро, задействовав 
SYNPROXY - 
https://www.redhat.com/en/blog/mitigate-tcp-syn-flood-attacks-red-hat-enterprise-linux-7-beta 
- тогда Exim/Sendmail вообще про это знать ничего не будут и нагрузка на 
систему существенно снизится.

On 04.11.2019 17:48, Alexander V Soroka wrote:
> Привет !
>
> просто сил уже нет... :-(
> ломятся флюдяит пытаются ломать SMTP в 25 порт.
>
> пришлось руками записать в блеклист:
> Chain BLACKLIST
> num  target     prot opt source               destination
> 1    DROP       all  --  18.184.58.0/24       0.0.0.0/0
> 2    DROP       all  --  18.194.104.0/24      0.0.0.0/0
> 3    DROP       all  --  23.254.230.0/24      0.0.0.0/0
> 4    DROP       all  --  52.28.70.0/24        0.0.0.0/0
> 5    DROP       all  --  52.29.21.0/24        0.0.0.0/0
> 6    DROP       all  --  52.57.6.0/24         0.0.0.0/0
> 7    DROP       all  --  52.57.177.0/24       0.0.0.0/0
> 8    DROP       all  --  52.58.140.0/24       0.0.0.0/0
> 9    DROP       all  --  52.58.143.0/24       0.0.0.0/0
> 10   DROP       all  --  54.93.152.0/24       0.0.0.0/0
> 11   DROP       all  --  54.93.225.0/24       0.0.0.0/0
> 12   DROP       all  --  78.128.113.0/24      0.0.0.0/0
> 13   DROP       all  --  92.118.38.37         0.0.0.0/0
> 14   DROP       all  --  92.118.38.0/24       0.0.0.0/0
> 15   DROP       all  --  45.82.153.0/24       0.0.0.0/0
> 16   DROP       all  --  45.125.65.0/24       0.0.0.0/0
> 17   DROP       all  --  45.125.66.0/24       0.0.0.0/0
> 18   DROP       all  --  45.142.195.0/24      0.0.0.0/0
> 19   DROP       all  --  46.38.144.0/24       0.0.0.0/0
> 20   DROP       all  --  62.76.40.69          0.0.0.0/0
> 21   DROP       all  --  141.98.10.0/24       0.0.0.0/0
> 22   DROP       all  --  103.89.88.0/22       0.0.0.0/0
> 23   DROP       all  --  103.253.42.0/24      0.0.0.0/0
> 24   DROP       all  --  146.0.246.0/24       0.0.0.0/0
> 25   DROP       all  --  185.36.81.0/24       0.0.0.0/0
> 26   DROP       all  --  185.234.216.0/24     0.0.0.0/0
> 27   DROP       all  --  185.234.217.0/24     0.0.0.0/0
> 28   DROP       all  --  185.234.218.0/24     0.0.0.0/0
> 29   DROP       all  --  193.32.160.0/24      0.0.0.0/0
>
>
> причем  домятся  открывают  порт  и  исчезают  -  до  уровня  логов  и
> дальнейших действий дело не доходит.
>
> Как с таким бороться ?
> автомат  какой-то  поставить,  чтобы  сам  автоматом  при  обнаружения
> активности - сам вписывал в блаклист?
>
>

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20191104/349a8f7e/attachment.html>

More information about the uanog mailing list