これは、ほとんどのサーバーと同様に、遠くから継続的に攻撃を受けているcPanelサーバーに関するものです。アメリカとカナダのクライアントだけを務めるという点を考慮すると、アシアナ南アメリカなどの地域へのフルアクセスを許可する理由はありません。
ファイアウォールのルールが多すぎると遅延時間が長くなり、最悪の場合はファイアウォールが破損する可能性があります。しかし、毎日の攻撃件数が多いため、最大7000のルールを管理するようにCSFを構成しました。攻撃が少ない日もあるが、1日にはSMTP(669)とcPanel(2)に接続しようとしていたところ、671個のIPがブロックされた。
この問題をよりよく制御するために、誰もがWebアクセスを許可し、特定のチャンクのFTPまたはSMTPアクセスをブロックすることを検討しました。だから、これは私がCSF辞書規則[/usr/local/csf/bin/csfpre.sh]に入れたものです。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 21:25 -s 1.0.0.0/8 -j DROP
iptables -A INPUT -p tcp --dport 21:25 -s 2.0.0.0/8 -j DROP
iptables -A INPUT -p tcp --dport 21:25 -s 112.0.0.0/8 -j DROP
iptables -A INPUT -p tcp --dport 21:25 -s 113.0.0.0/8 -j DROP
iptables -A INPUT -p tcp --dport 21:25 -s 117.0.0.0/8 -j DROP
iptables -A INPUT -p tcp --dport 21:25 -s 190.0.0.0/8 -j DROP
今私は私のiptables技術に完全に自信がないので、これについてのコメントを聞きたいです。もちろんここに問題がある場合はフィードバックも受けたいです。
私はこれが潜在的に良い電子メールをたくさんブロックするだけでなく、サーバー上でホストされているサイトで作業するために雇用されている分野のすべてのWeb開発者をブロックすることを知っています。私の考えでは、有効な電子メールがこれらのIP範囲から出る可能性ははるかに少ないです。また、攻撃回数に応じてブロックを選択しました。
たとえば、ロシアの実際のIPブロックを6000〜7000個ロードするのではなく、クラスAブロック全体を一括ブロックすることに集中するだけで、ファイアウォールルールを大幅に削減し、単純に保つことができます。
私はこのサイトを使用してブロックされる国を特定します。 tcpiputils.com
ベストアンサー1
スパムソフトウェアはこの状況をよりよく処理できますか? 1日に670のホストは大量のホストではありません。この規模では、誰もが許可されるようにホストの速度制限を考慮することもできますが、誰かが繰り返し接続してスパムを試みる場合はブロックできます。これは接続追跡を介して行うことができます。何百万ものホストが連絡している場合、接続追跡は大幅に間違っている可能性がありますが、1日に670回程度は問題ありません。これは次の意味です(テストされていない、申し訳ありません)。
iptables -A INPUT -p tcp --dport 21:25 -i eth0 -m conntrack --ctstate NEW -m recent --update --seconds 300 --hitcount 20 -j DROP
iptables -A INPUT -p tcp --dport 21:25 -i eth0 -m conntrack --ctstate NEW -m recent --set
(もちろん、一括メールを送信した人をホワイトリストに追加することもできます。)