IPTables não bloqueando um endereço IP

1

Estou com um problema com spammers de comentários. Bem, pelo menos eu acho que sou. Estou executando o CentOS e meu servidor Apache continua maximizando a RAM e, em seguida, deixa de responder e trava. Se eu executar o seguinte comando:

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Então eu recebo esta lista de conexões que estão abertas:

18 112.65.135.54
18 118.98.172.53
19 174.142.104.57
20 91.121.79.99
40 218.69.96.4

Pesquisando esses IPs no site projecthoneypot.com me disseram que são spammers de comentários. Então eu pensei em proibir eles usando o iptables com este comando:

iptables -A INPUT -s 174.142.104.57 -j REJECT

Eu também tentei usar o comando:

iptables -A INPUT -s 174.142.104.57 -j DROP

Em seguida, salvei o estado com: service iptables save

Se eu executar o comando nestat novamente, esses IPs ainda estarão conectados e algumas de suas conexões aumentaram em número.

Alguém sabe o que estou fazendo errado? service iptables status mostra que o iptables está rodando e tem essas regras nele. Então estou completamente perplexo. Qualquer ajuda seria muito apreciada.

    
por Michael Gaylord 09.07.2010 / 07:15

2 respostas

4

Sem conseguir realmente ver sua configuração completa de firewall, acho que você tem um erro em algum lugar. O tráfego de entrada pode ser permitido por alguma outra regra, como por exemplo, permitindo tráfego RELATED e ESTABLISHED ou permitido pela porta ou pelo destino. Mover a regra DROP ou REJECT para cima na cadeia fará com que ela corresponda mais cedo e não seja sobrescrita por uma regra diferente.

Além disso, se o tráfego de entrada estiver sendo bloqueado, as conexões existentes ainda serão tecnicamente consideradas "abertas" até que o computador decida que o outro servidor não está respondendo. E se o seu computador não estiver tentando se comunicar com a máquina remota, ele nunca saberá que não há resposta do outro lado.

    
por 09.07.2010 / 07:45
2

Eu tive o mesmo problema.

Aqui está como eu resolvi isso editando o / etc / sysconfig / iptables

Mova a linha de bloqueio, como

-A INPUT -s xxx.xxx.xxx.xxx -j DROP

no topo da lista -A,

então eu não vejo mais nenhuma mensagem de ataque bruto desse IP.

    
por 19.10.2013 / 13:06