Как сделать доступ к серверу только из России в iptables без geoip?

Question

[Антон Артёмов]

Доброго времени.
geoip не рассматриваю.
Отсюда ripe.net спарсил все адреса подсетей России.
Если я в /etc/sysconfig/iptables запрещу всё и разрешу только это:

-A INPUT -s 2.60.0.0/14,2.92.0.0/14,...62 тыщи подсетей...,213.110.224.0/19,217.71.128.0/20  -j ACCEPT

... ну и плюс подсети гугла для индексации сайта...
Нормально ли вообще в /etc/sysconfig/iptables запихивать 62 тыщи подсетей в правило? Или мне за этого руки поотрывать? Расскажите пожалуйста.

Comments

[Lynn «Кофеман»]

Если это дня http, то у http-серверов тоже есть возможность фильтровать запросы по IP

[Антон Артёмов]

Алексей Тен: включая http. На nginx я уже делал защиту от ddos примитивную. Но я хочу оградить весь сервер от бандитов ))

[Lynn «Кофеман»]

Будет очень смешно, когда вы находясь в отпуске где-нибудь на Бали не сможете починить критический баг потому что сервер вас не пустит по SSH =)

Answer 1

[Руслан Федосеев]

man ipset

иначе ваш следующий вопрос будет - почему все так тормозит.
Потому что каждый пакет проходит 62к проверок....

Comments

[Антон Артёмов]

Ну а внутри ipset тоже же будет 60 тыщ проверок?

[Руслан Федосеев]

нет. Почитайте чем оно отличается. ipset - это дерево, проверок будет значительно меньше

[Антон Уланов]

Жесть, почему не использовать тот же GEOIP? вы 62к правил запихнули в firewall круто че сказать, а железу с этого хорошо? про то что вы бездумно жрете сейчас ресурсы сервера думать не надо? а сменит кто вас сейчас ч то ему делать с этими правилами? я бы застрелился ну или проклял путь это даже мне вернулось бы

[Антон Артёмов]

Антон Уланов: Да ничё я еще не впихивал... Я уже пишу sh скрипт для инициализации листа setip с того самого ripe.net
Что то типа такого:

#!/bin/bash

mask=32

maskfun ()
{
  mask=$(bc -l <<< "32-l($1)/l(2)")
  mask=`printf %1.0f $mask`
  return 0
}

ipset -F rusnetworks
ipset -N rusnetworks nethash
for IP in $(wget -O- ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest) ; do
    IFS='|' read -ra ADDR <<< "$IP"
    if [ ${ADDR[2]} == "ipv4" ] && [ ${ADDR[1]} == "RU" ]; then
        maskfun ${ADDR[4]}
        #echo ${ADDR[3]}"/"$mask
        ipset -A rusnetworks ${ADDR[3]}"/"$mask
    fi
done

Вот ща с масками работаю... рассчитваю по пулу адресов.

[Антон Артёмов]

А GEOIP почему не хочу? Потому что хз как часто он обновляется... да и по городам мне нафиг не нужно разделение... И в конце концов, я просто хочу... да вот так и хочу )

Answer 2

[Сергей Соколов]

Можно пустить весь траффик через CloudFlare и надеяться, что злодеи не запомнили ваш прямой IP.
Тогда «весь мир» будет общаться с мордой CF, которые умеют отсекать DDOS и прочие подозрительные активности.

Comments

[Антон Артёмов]

Как вариант, но... не то...

[Сергей Соколов]

Антон Артёмов: капризничаете.

[Дмитрий]

Антон Артёмов: тогда подключите Route 54 от амазона.
настройте там редирект пользователей с нужным гео на ваш сервер, а остальных пинайте на заглушку или куда-то еще