wechselnde IP´s sperren

[Perry_Rhodan]

Hallo Forum,

wie im beiliegenden Codeblock zu sehen, versucht so ein !"§$% aus der Türkei seit mehreren Tagen sich in existierende und nicht existierende E-Mail-Accounts einzuloggen.

War bisher immer erfolglos und sollte auch so bleiben, die Passwörter sind relativ gut. (Kombination aus Buchstaben, Zahlen UND Sonderzeichen)

Der Typ wird auch fein per fail2ban-Regeln geblockt, doch nervt mich das, dass ich diese Meldungen täglich im log lesen muß.

Er versucht es nach jeder Sperre mit einer anderen IP. Bisher habe ich über 15 verschiedene IP´s von Ihm gespeichert.

Dabei benutzt er IP´s aus den folgenden Bereichen: 92.45.xxx.xxx, 151.250.xxx.xxx (hauptsächlich >50% der Fälle) und 213.153.xxx.xxx

Nun möchte ich nicht pauschal alle IP´s aus diesem Blöcken sperren, sondern gerne nur IP´s die von "reverse.superonline.net" kommen. Geht dies und wenn ja wie? Nach meinem Kenntnisstand kann iptables ja nicht mir Domainnamen umgehen oder?

Banned services with Fail2Ban:                     Bans:Unbans 
  courierauth:                                            [  5:4  ] 
     92.44.16.61 (host-92-44-16-61.reverse.superonline.net)   1:0   
     92.45.130.249 (host-92-45-130-249.reverse.superonline.net)   1:0   
     92.45.134.62 (host-92-45-134-62.reverse.superonline.net)   1:0   
     92.45.150.179 (host-92-45-150-179.reverse.superonline.net)   0:1   
     92.45.150.188 (host-92-45-150-188.reverse.superonline.net)   0:1   
     92.45.159.162 (host-92-45-159-162.reverse.superonline.net)   1:0   
     151.250.31.201 (host-151-250-31-201.reverse.superonline.net)   1:0   
     151.250.88.155 (host-151-250-88-155.reverse.superonline.net)   0:1   
     151.250.92.53 (host-151-250-92-53.reverse.superonline.net)   0:1

Danke für hilfreiche Tipps und Anregungen.

Gruß

Ulf

 

[GwenDragon]

Du kannst doch die Netzwerkrange von ....reverse.superonline.net rausbekommen.
ein Whois auf die IP und es wird dir der Netzwerkbereich des Anbieters gezeigt.
Un den Bereich kannst du dann als Netzmakse in iptables verwenden.
Den Netzwerkrange blockierst du mit eigenen DROP-Regeln für iptables.

Whois 92.44.16.61

inetnum: 92.44.16.0 - 92.44.23.255
netname: TR-TELLCOM-BB-YAPA-Ist-Avrupa
...
% Information related to '92.44.16.0/21AS34984'

route: 92.44.16.0/21

droplist-Chain erstellen:
iptables -N droplist
iptables -I droplist -j RETURN
iptables -I INPUT -j droplist

Und blockieren:
iptables -I droplist -s 92.44.16.0/21 -j DROP

Oder:
Du kannst die bösen IPs und Netzwerkranges in eine Datei packen und dann automatisiert durch mein Shellskript die Regeln erstellen lassen.

 

[Perry_Rhodan]

Hallo GwenDragon,

danke für den Wink mit dem Gartenzaun. An das Whois habe ich nicht gedacht.

Gruß

Ulf

 

[hans01]

http://bgp.he.net/AS34984#_prefixes

Ich sperre gerne ganze AS
allerdings nicht mehr händisch...