Ich habe diesen IPS-Bereich 197.192.xx, der meine Pop-/Imap-/SMTP-Server Tag für Tag mit Brute-Force-Angriffen angreift.
Ich habe dieses IP-Set eingerichtet, das jede IP blockiert, die versucht, meinen Server zu hacken.
Ich möchte den Zugriff für Pop/SMTP/IMAP für alle IPs ab 197.192 blockieren.
Dazu habe ich diesen Befehl eingegeben:
ipset -A myIpset 197.192.0.0/24
Dadurch wurden meinem IP-Set jedoch 65.536 IPs hinzugefügt, sodass es riesig wurde und ich nun keine weiteren IPs mehr hinzufügen kann.
Gibt es eine andere Möglichkeit, dies eleganter zu tun?
Antwort1
Sie können dem Block ein weiteres IP-Set hinzufügen, diesmal vom Typ hash:net, und diesem IP-Set 197.192.0.0/16 hinzufügen. Oder ersetzen Sie Ihr IP-Set durch eines vom Typ , hash:netda hash:netauch IP-Adressen gespeichert werden können (Netzmaske 32).
So konvertieren Sie von hash:ipin hash:net:
ipset save myIpset > myIpset &&
ipset destroy myIpset &&
sed s/:ip/:net/ myIpset | ipset restore &&
ipset add myIpset 197.192.0.0/16
Antwort2
Sie könnten hierfür einfach kein IP-Set verwenden; iptables kann Netzwerke relativ einfach zuordnen:
iptables -I INPUT -s 197.192.0.0/16 -p tcp --dports smtp,imap,pop3 -j DROP
o.ä.
Übrigens: Haben Sie den Missbrauch gemeldet an[email geschützt]wie in AfriNIC Whois angefordert? Einen Versuch wert …