Нужно ли использовать black-list, если используется fail2ban?

Question

[kkoshakk]

fail2ban может быть альтернативой black-list?

Answer 1

[silverjoe]

Fail2ban определяет по логам и вами заданными фильтрами, какие IP адреса блокировать на вами же заданное время.
BL - постоянный блок, без учета того что этот IP адрес сделал.

Comments

[kkoshakk]

То есть, BL лучше все же использовать, а подскажите хороший, актуальный BL?

[silverjoe]

kkoshakk: не подскажу, так как BL не использую :)

[kkoshakk]

silverjoe: А почему, может и мне не стоит?

[silverjoe]

kkoshakk: Все зависит от ваших целей. Я так защищаю телефонию. Мне достаточно блокировать на много часов, тех кто подпадает под критерий фильтра. Держать блэклист для этого дела не считаю нужным, т.к. и адреса меняются и люди которые сканируют :)

[Андрей Михалёв]

kkoshakk: а зачем вам BL? эти списки не совершенны. блокировки на основе fail2ban выигрывают по всем показателям. особенно когда в BL ip попал случайно.

[mureevms]

Быть может Вам лучше использовать вайт лист?

[kkoshakk]

Андрей Михалёв: Так, а ч ip и не хочу блокировать, я хочу блокировать Bad Bots, Crawlers и т.д

[kkoshakk]

mureevms: А как использовать вайт лист?

[mureevms]

Так же как и блэк, только наоборот )
Смотрите, у Вас есть несколько клиентов. Все зависит ох количества. В теории, потенциальным атакующем может стать любой десктоп в мире в любое время, поэтому использовать блэк листы затруднительно. Гораздо проще создать белый список хостов с которых разрешен коннект к серверу, всех остальных брить.

[kkoshakk]

mureevms: так я хочу блокировать не ip пользователей, а user-agent

[silverjoe]

kkoshakk: Тогда что то вроде iptables -A INPUT -p udp -m udp --dport 5060 -m string --string "sipcli" --algo bm --to 65535 -j DROP