Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: IPtables как отфильтровать или отправить по другому адресу ботов:)?  (Прочитано 455 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн D.IRC

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
1. Есть разные боты, которые ломится на сайт, хочется их отбить, а то спамят лог 404 и прочими вещами...
2. Некоторые боты имеют по 2-3 IP адреса, типа MJ12Bot (Это я к тому, что данного бота можно отсечь по IP адресу)
3. Есть боты которые имеют намного больше IP адресов например PetalBot (тут уже по IP адресу ни отсечь)

Почитав документация по IPtables нашел, что можно сделать фильтрация в таблице INPUT по заголовку:

Получается вроде такого правила:  iptables -I INPUT -p tcp —dport 80 -m string —algo bm —string «PetalBot» —to 1000 -j DROP, эта конструкция отлично работает, если сайт имеет протокол http, но сейчас таких сайтов не осталось:) если сайт работает по протоколу https, то это правило не работает (iptables -I INPUT -p tcp —dport 443 -m string —algo bm —string «PetalBot» —to 1000 -j DROP), т.е даже с переписанным портом

Вопросы:
1. Почему не работает?
2. Какие есть варианты, чтобы решить данную задачу ОТФИЛЬТРОВАТЬ и желательно используя заголовок и значения, "NameBot" ?
3. Какие есть варианты, чтобы решить данную задачу ПЕРЕНАПРАВИТЬ на другой IP адрес и желательно используя заголовок и значения, "NameBot" ?
4. Делал правило фильтрация по IP адресу iptables -A INPUT -s 148.251.9.145 -j DROP, потом просматриваю iptables --list
   пишет такое: source: static.145.9.251.148.clients.your-server.de вопрос почему так?
« Последнее редактирование: 03 Июнь 2020, 00:32:47 от D.IRC »

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4709
  • Capture the truth
    • Просмотр профиля
fail2ban

обычно так.
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн D.IRC

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Спасибо за ответ, но можно все же по пунктам, fail2ban это для настройки iptables, так что какое именно решение для iptables, ну и лучше по пунктам

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27661
    • Просмотр профиля
У ТС iptables головного мозга?

TCP это OSI layer 4. HTTP(S) это OSI layer 7. Седьмой, Карл! СЕДЬМОЙ!!

Как вы собираетесь инструментом третьего-четвёртого-пятого уровня дотянуться до седьмого? Это в принципе невозможно.

Если хотите фильтровать ботов - фильтруйте там, где можете их определить. На седьмом уровне. Да. В вебсервере.
Любой современный вебсервер предоставляет средства для фильтрации запросов по различным параметрам (строка запроса, содержимое заголовков, куки и т.д.).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн D.IRC

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
TCP это OSI layer 4. HTTP(S) это OSI layer 7. Седьмой, Карл! СЕДЬМОЙ!!

Ну работает же для http :)) вот прямо один в один строка, которую выше дал КАРЛ!!!



Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27661
    • Просмотр профиля
Если я вам скажу, что работает она по чистой случайности, вы сильно удивитесь?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн D.IRC

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Если я вам скажу, что работает она по чистой случайности, вы сильно удивитесь?…

Какой случайности, прописал правило, подставляю в заголовок ИмяБота, ЛЮБОЕ под которое прописал правило блочит, любые другие имена, которые не прописаны не блочит, не бывает таких случайностей:))

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27661
    • Просмотр профиля
Вы бы хоть почитали, что именно ваше правило делает.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…


Оффлайн D.IRC

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
D.IRC, про это разговор?

https://support.acquia.com/hc/en-us/articles/360042181273-Block-Access-to-Bad-Bots-coming-from-the-Huawei-Cloud
второй вариант
https://qna.habr.com/q/777749

Да, спасибо именно про это :)

Пользователь добавил сообщение 04 Июнь 2020, 02:49:46:
Вы бы хоть почитали, что именно ваше правило делает.

Вы посты набивает или зачем столько ни по делу? (все я прочел, и почему не работает разобрался, разбирающиеся люди объяснили за 1 минуты)

 

Страница сгенерирована за 0.076 секунд. Запросов: 25.