Защита на уровне iptables

[stixia007]

Здравствуйте уважаемые. Настроил скрипт, чтоб не грузил сам сервер, не могли бы вы проанализировать заблокированные ip?

Код: [Выделить]

target     prot opt source               destination
DROP       all  --  128-68-6-128.broadband.corbina.ru  anywhere
DROP       all  --  anywhere             128-68-6-128.broadband.corbina.ru
DROP       all  --  net0-57.perm.ertelecom.ru  anywhere
DROP       all  --  anywhere             net0-57.perm.ertelecom.ru
DROP       all  --  broadband-188-32-128-63.nationalcablenetworks.ru  anywhere 
DROP       all  --  anywhere             broadband-188-32-128-63.nationalcablenetworks.ru
DROP       all  --  188x134x83x116.static-business.iz.ertelecom.ru  anywhere   
DROP       all  --  anywhere             188x134x83x116.static-business.iz.ertelecom.ru
DROP       all  --  h164-138-34-32.nettrans.ru  anywhere
DROP       all  --  anywhere 

target     prot opt source               destination
DROP       all  --  ns3013771.ip-151-80-30.eu  anywhere
DROP       all  --  anywhere             ns3013771.ip-151-80-30.eu
DROP       all  --  113-12.alba.dp.ua    anywhere
DROP       all  --  anywhere             113-12.alba.dp.ua
DROP       all  --  pool-p5.195-191-58-205.nat.osnova.tv  anywhere
DROP       all  --  anywhere             pool-p5.195-191-58-205.nat.osnova.tv
DROP       all  --  95-25-152-30.broadband.corbina.ru  anywhere
DROP       all  --  anywhere             95-25-152-30.broadband.corbina.ru
DROP       all  --  78.25.123.54         anywhere
DROP       all  --  anywhere             78.25.123.54
DROP       all  --  h81-30-63-228.broadband.nettrans.ru  anywhere
DROP       all  --  anywhere             h81-30-63-228.broadband.nettrans.ru
DROP       all  --  broadband-178-140-114-205.nationalcablenetworks.ru  anywhere
DROP       all  --  anywhere             broadband-178-140-114-205.nationalcablenetworks.ru
DROP       all  --  91.227.162.55        anywhere
DROP       all  --  anywhere
Не могу точно определить, злодеи это? То-есть нет-ли тут какого сервиса, поисково бота - которые могут попасть в бан.
Стоит правило, блокировать каждый ip если с него одновременно было 50+ запросов.

[AnrDaemon]

Google Chrome устанавливает по нескольку десятков соединений "для ускорения".

[stixia007]

Одновременно больше 50 запросов? Это уже ддос атака будет от сотни таких посетителей Я просто первый раз слышу, видимо лучше убрать правило под 50 запросов?
Тогда как ддос защищать, есть тут привычка у пацанов запускать прожки или стресовики и под 50+ запрсоов досят сервер, обычно 80 порт.

[salvador]

Такой известный сайт, что его ддосят?

[stixia007]

Достаточно известный.

[salvador]

Достаточно известный.

В ваш лог плохо читается, т.к. в нем скрипт зачем-то разрешает ip в dns. Плохо вам будет потом по логу вести поиск.
Может быть так, что в фирме много сотрудников и все они дружно выходят в интернет через NAT и попадают на ваш сайт.
Можно поискать эти ip в логах вебсервера и посмотреть какой запрос был сформирован клиентом.

Еще можно использовать такой https://www.nic.ru/whois/ или подобный сервис для определения местонахождения ip адреса.

Если сайт не ложится от DDOs, то можно несколько ослабить "хватку"..., подключить к серверу zabbix и смотреть за нагрузкой.

[stixia007]

Спасибо. Сотрудников нет, есть просто сайт, который злоумышленники "школьники в основном" пытаются как-то навредить. Я поизучал хак софт и другие атаки, которые используют в основном ребята без мозгов, там обычно от 50+ запросов на сайт, ip - 80 порт или 433. Потому и сделал такое ограничение.

Начали активно добавляться правила, вот думаю не от поисковиков ли т.к. сайт имеет выгоду с пс.