ips blocken

[bluehead]

Hallo liebe Fachleute,

welche Möglichkeiten ausser IPtables habe ich noch, wenn ich bestimmte IPs (Leaseweb) aussperren möchte?

IpTables scheint nicht 100% zu verhindern, daß eine so eine blöde IP immer noch connecten kann.

Gruss,
BH

 

[Roger Wilco]

Unter Linux ist Netfilter (bzw. dessen Frontend iptables) nun mal der Standardpaketfilter. Manche Dienste bieten die Möglichkeit, von sich aus bestimmte Clients abzulehnen, eventuell reicht dir das ja.

IpTables scheint nicht 100% zu verhindern, daß eine so eine blöde IP immer noch connecten kann.

Das heißt was genau?

 

[bluehead]

MOD: Fullquote entfernt.

Na, ich habe die IP, die ich sperren will mit
iptables -A INPUT -s 85.17.239.19 -j DROP

in die Ip-Tables aufgenommen, wenn ich darkstat anmachen, versursacht diese IP (ist von LEaseweb) aber immer noch Pakete/Traffic, obwohl sie in Netstat nicht mehr auftaucht.

 

[Roger Wilco]

Um ein mögliches Missverständnis gleich zu klären: Netfilter oder sonst ein Paketfilter auf deinem Server verhindert nicht, dass die Daten eines Client an deiner Netzwerkschnittstelle aufschlagen. Du kannst damit nur verhindern, dass dein System z. B. TCP-Verbindungen zulässt und Antworten schickt (DROP) bzw. freundlich ablehnt (REJECT).

Das heißt, dass z. B. ein Client, der permanent Datenpakete an dein System schickt, auf diesem natürlich Traffic verursacht (eingehenden). Das kannst du nur durch einen Paketfilter vor dem zu schützenden System verhindern. Die Ausgabe von netstat sagt dir ja schon, dass keine Verbindungen mit dem System bestehen.

 

[bluehead]

MOD: Fullquote entfernt.

Moment, jetzt hab ich den Wald vor lauter Bäumen nicht gesehen ... grins .. ich sehe in Darkstat, das die Connections zwar "aufschlagen" auf den Rechner, aber mein Rechner sie nicht "beantwortet" sozusagen, durch das Drop in der Filterregel.
Das heisst, wenn ich will, das die Anfragen, der IP meinen Server erst gar nicht erreichen, müssen sie schon im Router gesperrt werden, richtig?

 

[Roger Wilco]

Das heisst, wenn ich will, das die Anfragen, der IP meinen Server erst gar nicht erreichen, müssen sie schon im Router gesperrt werden, richtig?

Ja, korrekt.

 

[bluehead]

aha, alles klar .. dann mal fragen, ob mein hoster zu sowas bereit ist, kann ich mir fast nicht vorstellen, aber leaseweb antwortet ja auf abuse-mails nicht.

Macht es eigentlich mehr sinn, die anfragen zu droppen oder zu rejecten?

 

[Deleted member 4401]

Also ich benutze route anstatt iptables um IPs komplett auszusperren:

route add -host 192.0.0.1 reject

Genauso effektiv wie iptables aber ohne die bei einer grossen Anzahl von geblockten IPs auftretenden i/o-waits wie bei Firewall Regeln.

 

[Roger Wilco]

Das geht bei einzelnen IP-Adressen noch gut, aber du musst bedenken, dass bei einer hohe Anzahl von Einträgen das Routing aller Pakete ausgebremst wird.

 

[Deleted member 4401]

Hm, also bei einer sehr grossen Anzahl zu blockender IPs ist meiner Meinung nach route die weit bessere Wahl....zumindest in Notfallsituationen wie z.B. bei einem DDoS. Bei etwa 1000 geblockten IPs (per iptables) war bei meinem Server Schicht im Schacht da die i/o-waits dann bei beinahe 100% lagen und das System de facto eingefroren war. Per route waren auch über 6000 Einträge kein Problem ohne das wirklich spürbare Performance-Verluste auftraten. Ist natürlich nur ein subjektiver Eindruck, Benchmarks mögen da eine andere Sprache sprechen.