LINUX.ORG.RU
ФорумAdmin

Блокирование обращений к http://ip/

 ,


0

3

Debian 6... Я настроил apache2, запретил доступ в /etc/apache2/sites-enabled/000-default, написав там «deny from all», больше пока ничего не менял. После захода на "http://ip/"; выдаёт 403 ошибку, всё верно...

НО в логах постоянный флуд такого типа:

117.22.68.242 - - [25/Mar/2013:16:56:08 +0400] "\xdc;H\x1a\xf7\xcb\xb6\xef\x8b\x0c^e\xcdw\xf7'\x99\xaf\x06\x9d\xfb\xa4\x95E\xaf\xbdusL\xfb" 400 309 "-" "-"
113.23.122.93 - - [25/Mar/2013:16:56:08 +0400] "-" 408 0 "-" "-"
188.209.234.25 - - [25/Mar/2013:16:56:09 +0400] "\x18\xc9#k\xc0\xd0\xcc1#txAp\x16\x8a\x9dy\xd9X\xf8\xda\xd8\b>\x8b%\xb4C\x94\x81\x94l\x0c\x9f[_}\xfe\xd2\xe7\xf4\xb4\x9b;\xc6\xd5\x8dy-{\xd4\xb9NN" 400 309 "-" "-"
41.141.62.149 - - [25/Mar/2013:16:56:09 +0400] "\xc8mF\xd9%i\xac\x02\xe3R\xe1\\\xb2\xcfO\x1a\xf7\xc9" 403 285 "-" "-"
41.44.54.45 - - [25/Mar/2013:16:56:09 +0400] "i" 403 285 "-" "-"
41.129.111.91 - - [25/Mar/2013:16:56:10 +0400] "-" 408 0 "-" "-"
113.132.39.20 - - [25/Mar/2013:16:56:11 +0400] "-" 408 0 "-" "-"
41.191.3.219 - - [25/Mar/2013:16:56:11 +0400] "-" 408 0 "-" "-"
92.47.20.192 - - [25/Mar/2013:16:56:12 +0400] "-" 408 0 "-" "-"
41.190.205.97 - - [25/Mar/2013:16:56:12 +0400] "\x1eD\xbf\xf4>\xac\xaf\xd5&\v\xe3+\xcd\xc0K\xc1\xb3\x97\xd5\x16\x97\x9d\x8d\xeb\xeb\xc4t%\xe7c\xe2@\x99n\xcdo\xc5\xab\x15n\x176z\x99\xd6\xa6\x0f\xcf*" 400 309 "-" "-"
113.132.39.20 - - [25/Mar/2013:16:56:12 +0400] "-" 408 0 "-" "-"

И постоянно куча потоков апача...

Как с таким бороться ДО апача? или как отключить в принципе доступ к http://ip/ (то есть возможность захода по айпи)?



Последнее исправление: nix (всего исправлений: 2)
Ответ на: комментарий от nix

iptables -t filter -A INPUT -p tcp --dport 80 -d <IP> -j DROP - дропать пакеты, которые идут на этот компьютер, с ip-назначение <IP> на 80 порт.

Tanger ★★★★★
()
Ответ на: комментарий от Tanger

можно конечно парсить все айпи из лога и блокировать их таким образом... может всё-таки есть другие варианты?

nix
() автор топика
Ответ на: комментарий от Tanger

А. Ой. Можно пропускать все запросы через nginx, который будет редиректить те, которые не нужно игнорировать, на apache.

Tanger ★★★★★
()
Ответ на: комментарий от nix

можно конечно парсить все айпи из лога и блокировать их таким образом...

Они прибывают всё новые и новые?

Tanger ★★★★★
()

И постоянно куча потоков апача...

«Куча» это сколько?
Самое простое - забить, если, конечно, ресурсы не выжираются подчистую.
Есть, конечно, iptables -m --string, но, во-первых, оно будет грузить процессор, а во-вторых, TCP-сессии все равно будут устанавливаться. Еще можно вспомнить про установку средствами iptables лимита соединений с конкретного айпишника - вот это может быть полезным. З.Ы. Ну и классика - отгородить апача легкой фильтрующей проксёй. Тем же nginx'ом.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от Tanger

да постоянно долбят... 129 тыс строк в access.log со вчерашнего дня... попробую через nginx сделать... нашёл в nginx возможность отдавать ошибку 444, при которой он закрывает соединение без передачи заголовка ответа.

nix
() автор топика

А ты не делай его дефолтным и будет не к чему обращаться.

anonymous
()

Как с таким бороться ДО апача?

Никак. Ты не отличишь коннект сделаный клиентом после ресолвинга имени от коннекта по заранее заданному IP.

</thread>

no-dashi ★★★★★
()
Ответ на: комментарий от nix

да постоянно долбят...

Если долбят с 10-ка IP, то iptables, иначе nginx+apache. (Кстати, наверное можно (но не нужно) и squid+apache.)

Tanger ★★★★★
()

Пара запросов в секунду это не опасно. Я бы забил.

true_admin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.