[uanog] Chain BLACKLIST
Volodymyr Litovka
doka at xlit.one
Mon Nov 4 18:32:17 EET 2019
Привет
фильтрами не отвертишься - весь интернет придется закрывать. Можно
переместить обработку этих коннектов с MTA на ядро, задействовав
SYNPROXY -
https://www.redhat.com/en/blog/mitigate-tcp-syn-flood-attacks-red-hat-enterprise-linux-7-beta
- тогда Exim/Sendmail вообще про это знать ничего не будут и нагрузка на
систему существенно снизится.
On 04.11.2019 17:48, Alexander V Soroka wrote:
> Привет !
>
> просто сил уже нет... :-(
> ломятся флюдяит пытаются ломать SMTP в 25 порт.
>
> пришлось руками записать в блеклист:
> Chain BLACKLIST
> num target prot opt source destination
> 1 DROP all -- 18.184.58.0/24 0.0.0.0/0
> 2 DROP all -- 18.194.104.0/24 0.0.0.0/0
> 3 DROP all -- 23.254.230.0/24 0.0.0.0/0
> 4 DROP all -- 52.28.70.0/24 0.0.0.0/0
> 5 DROP all -- 52.29.21.0/24 0.0.0.0/0
> 6 DROP all -- 52.57.6.0/24 0.0.0.0/0
> 7 DROP all -- 52.57.177.0/24 0.0.0.0/0
> 8 DROP all -- 52.58.140.0/24 0.0.0.0/0
> 9 DROP all -- 52.58.143.0/24 0.0.0.0/0
> 10 DROP all -- 54.93.152.0/24 0.0.0.0/0
> 11 DROP all -- 54.93.225.0/24 0.0.0.0/0
> 12 DROP all -- 78.128.113.0/24 0.0.0.0/0
> 13 DROP all -- 92.118.38.37 0.0.0.0/0
> 14 DROP all -- 92.118.38.0/24 0.0.0.0/0
> 15 DROP all -- 45.82.153.0/24 0.0.0.0/0
> 16 DROP all -- 45.125.65.0/24 0.0.0.0/0
> 17 DROP all -- 45.125.66.0/24 0.0.0.0/0
> 18 DROP all -- 45.142.195.0/24 0.0.0.0/0
> 19 DROP all -- 46.38.144.0/24 0.0.0.0/0
> 20 DROP all -- 62.76.40.69 0.0.0.0/0
> 21 DROP all -- 141.98.10.0/24 0.0.0.0/0
> 22 DROP all -- 103.89.88.0/22 0.0.0.0/0
> 23 DROP all -- 103.253.42.0/24 0.0.0.0/0
> 24 DROP all -- 146.0.246.0/24 0.0.0.0/0
> 25 DROP all -- 185.36.81.0/24 0.0.0.0/0
> 26 DROP all -- 185.234.216.0/24 0.0.0.0/0
> 27 DROP all -- 185.234.217.0/24 0.0.0.0/0
> 28 DROP all -- 185.234.218.0/24 0.0.0.0/0
> 29 DROP all -- 193.32.160.0/24 0.0.0.0/0
>
>
> причем домятся открывают порт и исчезают - до уровня логов и
> дальнейших действий дело не доходит.
>
> Как с таким бороться ?
> автомат какой-то поставить, чтобы сам автоматом при обнаружения
> активности - сам вписывал в блаклист?
>
>
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20191104/349a8f7e/attachment.html>
More information about the uanog
mailing list