gremlintv2
@gremlintv2

А какие блэклисты для NGINX используете Вы, и стоит ли их использовать?

История такая: прислал мне мой ISP жалобу мол:
"Але! Тут тебя вроде как дудосят? Ты че-то будешь делать с этим?!"
Ну и я - как простой обыватель интернетов, полез в гугль, перелопатил несколько статтей по этой тематике на хабре ну и парочку из-за бугра, настроил соответствующим образом nginx и используя утилиту, которая читает логи nginx, перебанил все адреса этого нехорошего дядьки, у которого ничего не получилось (я надеюсь. Эни вэй: желаю ему всего хорошего - "как говориться денег нет, но вы держитесь").
Паралельно, я нашел несколько ресурсов, которые предоставляют списки множества адресов по разным категориям, разного слоя интернет жуликов и бандитов(в том числе и ТОR сети из которой мало что полезного может прийти на сервак).

Собственно сам вопрос:
1) Какие из ниже перечисленных ресурсов Вы сами используете и какие категории из них:
www.stopforumspam.com/
www.badips.com/get/list/nginx/1
iplists.firehol.org/
2) Как бы и сам могу накостылять, но не поделитесь ли готовым скриптиком на bash/python для составления таких списков для nginx include? )
3) Возникла непонятка: в процесе блокировки: когда добавил в hosts.deny ip злого дядьки в виде:
ALL:111.111.111.111

Перезагрузил nginx, а злодей и дальше тарабанит по nginx! Почему так? Разве я неправильно прописал?
С уважением ;)
  • Вопрос задан
  • 125 просмотров
Пригласить эксперта
Ответы на вопрос 2
SagePtr
@SagePtr
Еда - это святое
Потому что средствами nginx фильтровать DDoS-атаку бесполезно, у вас сетевой канал забьётся быстрее, чем эти пакеты будут до nginx доходить
Ответ написан
kotomyava
@kotomyava
Системный администратор
0. Можно использовать что-нибудь типа cloudflare. Заодно хостера сменить, раз такие вопросы задаёт.

1. Фактически от использования этих сервисов мало пользы, лучше см. п.0 тогда уж.

2. Есть fail2ban, например, для него можно писать правила в зависимости от приложения. И не надо это инклюдить в nginx, лучше блокировать на уровне брандмауэра.

3."Перезагрузил nginx, а злодей и дальше тарабанит по nginx! Почему так? Разве я неправильно прописал?"
Nginx не использует tcp-wrappers. И это не блокировка на уровне системы, как iptables. Это попытка дать общую конфигурацию для программ, но работает только для тех, которые это поддерживают. Но и тем, что поддерживают, нужно, зачастую, сконфигурировать использование этого механизма. Рекомендую подробнее почитать о том, что это вообще такое, и как работает.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Social Systems Москва
от 50 000 до 100 000 руб.
Social Systems Москва
от 80 000 до 160 000 руб.
SaveTime Москва
от 160 000 руб.