Puncte:0

Este necesar să interziceți IP rău intenționat, indiferent de setarea implicită a firewall-ului care este refuzată/respinsă?

drapel us

Sunt pe Linux și folosesc fail2ban ca sistem de ban. Până acum, a colectat și a interzis aproximativ 150.000 de IP-uri rău intenționate și sunt îngrijorat și mă întreb dacă acest lucru va înghiți o cantitate suficientă de resurse. După cum văd eu pe top, are un timp CPU relativ mare. Întrebările mele sunt,

  1. Dacă există mai multe adrese IP interzise, ​​atunci CPU-ul meu va lua mai multe resurse pentru a filtra o conexiune de intrare? (Preocuparea mea se bazează pe ideea neverificată dacă CPU-ul trebuie să compare orice IP primit cu 150k-ban-list pentru a determina filtrarea.)
  2. Dacă pur și simplu aș seta setarea implicită de firewall pentru a refuza/respinge, atunci nu ar mai fi necesară interzicerea sistemului? Sau ar trebui să rulez sistemul de interdicție, indiferent? (dacă da, care sunt motivele?)
drapel cn
Bob
Depinde puțin de cum sunt interzise acele adrese IP. Verificarea secvențială a regulilor de netfilter individuale este mai „costisitoare” decât utilizarea unui „ipset” pentru a stoca adresele IP, dar chiar și penalitățile primei nu sunt de obicei prea severe
Puncte:0
drapel il
  1. dacă folosești o parte din „plată” iptables interzicerea acțiunilor în fail2ban la care ați putea trece iptables-ipset sau la nftables acțiune, de exemplu:
[MOD IMPLICIT]
banaction = iptables-ipset[tip=multiport]
banaction_allports = iptables-ipset[tip=allports]
[MOD IMPLICIT]
banaction = iptables-ipset-proto6
banaction_allports = iptables-ipset-proto6-allports
  1. in ceea ce priveste intrebarea "nega/respinge"...

    Deși trebuie să recunosc că nu prea înțeleg propoziția „atunci nu ar mai fi necesară interzicerea sistemului” sau mai degrabă modul în care unele setări implicite de firewall ar putea preveni acest lucru. Dacă porturile de ascultător sunt încă deschise și disponibile public.

    Orice tip de sistem de interzicere nu este necesar dacă fie ați avea încredere în politici puternice de parole, fie ați folosi chei asimetrice în loc de parole prin autentificare (astfel încât o forță brută să nu mai aibă sens) și o anumită încărcare prin difuzarea continuă a încercărilor de autentificare eșuate ca precum și jurnalele de jurnal de inundații sunt acceptabile pentru dvs. Sau dacă ați trece la niște reguli stricte de firewall care includ anumite adrese în lista albă sau deschideți doar porturi de ascultător la cerere (port-, http- sau orice alt mecanism de detonare), astfel încât serviciile dvs. să nu mai devină accesibile publicului.

Cât despre „drop vs. resping” vezi https://github.com/fail2ban/fail2ban/issues/2217#issuecomment-423248516 discuţie.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.