Как заблокировать доступ к ресурсу для конкретного региона?

Question

[Nik Faraday]

Здравствуйте!

У меня на хостинге (linux) развёрнут сайт. Недавно проверял состояние сервера и заметил в логах много неудачных попыток входа на сервер (В основном через ssh), похоже на brute force. В основном всё делается с Индии и подобных IP. Как я могу полностью заблокировать доступ к серверу и самому сайту для конкретного региона?

Comments

[Adamos]

А потом приехал в отпуск на Гоа, полез к серверу - и как вспомнил!..

[#]

ну смотри - сумел заблочить Индию... и посыпались и ******стана ...
и тут вопрос - а кому ты интересен?
если кому то конкретному, он просто поменяет vpn и продолжит шуршать..
это так, к размышлению ;))

Answer 1

[Михаил Р.]

GeoIP ngx_http_geoip_module

1. Nginx должен включать модуль ngx_http_geoip_module.
2. Качаем БД GeoLite2 Country.
3. Пример конфига (nginx.conf), с отправкой всех из Индии в 403 лес:

http {
    geoip_country /path/to/GeoLite2-Country.mmdb;
    map $geoip_country_code $allowed_country {
        default yes;
        IN no; # banned india
    }
}

server {
    if ($allowed_country = no) {
        return 403;
    }
}

Comments

[Nik Faraday]

Проблема при установке модуля geoip, почему-то ошибка с postgresql вылетает:

Error: Failed to download metadata for repo 'pgdg-common': repomd.xml GPG signature verification error: Bad GPG signature

[Everything_is_bad]

Nik Faraday, вот ты заметил проблему с ssh, но зачем-то решил блокировать http, зачем?

[Nik Faraday]

Everything_is_bad, потому что хочу заблокировать доступ полностью, и к ssh, и к http/https

[Everything_is_bad]

Nik Faraday, ты придумал проблему на ровном месте, вместо того чтобы открыть гугл и внятно изучить и понять причины, прибегаешь на этот сайт, да еще и с неправильно постановкой задачи, в итоге ненужные советы.

[Михаил Р.]

Nik Faraday, проблема с GPG ключом репозитория для PostgreSQL. Почистите кэш или обновите ключ rpm --import [URL к новому GPG ключу]

Answer 2

[ky0]

Рабочий вариант, не полагающийся на разной степени редко обновляемые географические базы IP-адресов - закрыть SSH совсем и ходить только из локальной сети, например через впн.

С веб-сервером сложнее - тут без подключения посторонних сервисов выбор невелик - модуль geoip или ручное перечисление диапазонов релевантных стран.

Comments

[d-stream]

Я бы даже отрастил на 22 порту honeypot-сенсор и все стукнувшиеся туда ip складывал в blacklist

По крайней мере такая практика с целым набором откровенно невозможных для сайта портов себя показала очень хорошо.

Answer 3

[Everything_is_bad]

Недавно проверял состояние сервера и заметил в логах много неудачных попыток входа на сервер (В основном через ssh)

ну как первый раз в интернет вышел, уже сто лет такое, ssh вообще постоянно долбят, ставишь fail2ban, а еще лучше меняешь дефолтный порт и ставишь логин только по ключу. А регион блокировать, так себе идея.

Comments

[Nik Faraday]

Расскажите подробнее

[Everything_is_bad]

Nik Faraday, о чём? это всё уже кучу раз обсосано.

[Nik Faraday]

Everything_is_bad, о fail2ban

[Everything_is_bad]

Nik Faraday, а погуглить?

[AUser0]

Nik Faraday, под лежачий камень fail2ban не устанавливается.

[Drno]

Nik Faraday, sudo apt install fail2ban -y
всё..

[Nik Faraday]

Drno, та же ошибка

Error: Failed to download metadata for repo 'pgdg-common': repomd.xml GPG signature verification error: Bad GPG signature

[Everything_is_bad]

Nik Faraday, тебе же ответили про причину ошибки, пока не поправишь, она на любую установку будут возбуждаться.

[Иммануил Мотоциклов]

начинать надо с простого - менять № порта.
потом fail2ban
GeoIP ну его к чёрту, чесно говоря. Да, удобная штука особенно если Апач и в htaccess просто редиректишь Занзибар на партнёрку для Африки, Венгрию - ещё куда нибудь и так далее, а Пакистан и Бангладеш сливаешь на какую-нибудь биржу трафика.
Но это ^^^ всё баловство. Не серьёзно и кажется что GeoIP с огромной базой немного тянет ресурсы на себя.