我有一个Nginx Web服务器托pipe两个网站。 我创build了一个blockips.conf文件,将IP地址列入黑名单,这些IP地址会不断探测服务器,并将其包含在nginx.conf文件中。 然而,在我的网站的访问日志,我仍然看到这些IP地址出现。 我是否需要在每个站点的conf中包含黑名单,而不是Nginx的全局configuration文件? 这是我的nginx.conf user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr – $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; keepalive_timeout 65; include /etc/nginx/conf.d/*.conf; # Load virtual host configuration files. […]
有没有有效和简单的方法来使用IP黑名单 ( 就像这个 ,但可能是2-3倍大,这不能简化为CIDR很多),拒绝使用标准/用户空间访问Web服务器 (lighttpd或Apache)软件(无核心重新编译)在Linux上 ? AFAIK Apacheconfiguration和iptables Deny规则具有线性查找时间。 有一些内核模块可以高效地处理大量的IP列表,但是安装这些模块需要修补内核。
编辑: 如何寻求解决scheme的冲动有时足以缓慢而稳定地引导人们寻求解决scheme,这是令人惊讶的。 而且,为了澄清这个问题,我越来越多地重读我的问题,我意识到这个“问题”超出了“简单”问题的范围,或者是让这个社区回答问题的想法。 随着我越来越了解iptables的操作概念,我将在接下来的几个小时内重新解释这个问题的结构。 理解的过程也产生了一些更具体的问题,我将很快提供给这个社区,并链接到这个问题。 简而言之,我的问题是要find一组正确的规则: 我自己的规则 的fail2ban 其他DNS黑名单一起工作,而“我的规则”也意味着要么我的国家列入白名单,因此阻止所有其他国家的SSH, 但允许所有国家/范围/ IP的DNS查询,除了一套列入黑名单。 数字: 为ssh:白名单50范围或黑名单约。 620.000个范围(通过ipdeny.com等组成) dns的黑名单条目:约。 140(一组u32规则 , 脚本 ) 25 +/-额外服务的规则(见下文) 歌词版本:我正在努力为我的需求实施解决scheme:scheme如下。 我有一个(现在假设DNS)服务器。 除了绑定ssh,sendmail,https和munin需要考虑到: 这一般很容易实现。 另外我fail2ban被安装,因为我面临来自世界各地的一些(四)DOS攻击。 我的主要目标是尽可能locking服务器。 我的想法是只将我国的一些IP地址列入白名单,这些地址匹配我可以访问的ISP的可能的dynamicDNS分配 – 即DSL和移动。 那样我就不会把自己锁在外面 我查了我的ISP的所有networking范围,导致我的下面的脚本/规则集: #ports: # 22: SSH (#4,#5) (ssh) # 25: SMTP (#20) (outgoing, sendmail for f2b report) # 53: DNS (!!#16!! see end of #16 […]
我有一个使用Postfix的邮件服务器(iRedMail)。 我收到很多垃圾邮件,所以我修改了/etc/postfix/main.cf文件,并将smtpd_recipient_restrictions设置为: smtpd_recipient_restrictions = reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client b.barracudacentral.org, reject_invalid_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, check_policy_service inet:127.0.0.1:7777, check_policy_service inet:127.0.0.1:10031, reject_non_fqdn_sender, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unlisted_recipient, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, permit 然而,垃圾邮件仍然来自这些黑名单上的IP。 如果我看看我的/var/log/mail.log文件,我看到消息通过。 这是一个例子: Jan 11 01:09:19 mailhost postfix/smtpd[935]: DA5736B578: client=localhost[127.0.0.1] Jan 11 01:09:19 mailhost postfix/cleanup[922]: DA5736B578: message-id=<ObreptitiousSoundness_300b221f33a2b213a8dc0ee683baadacnick@mydomain.com> Jan 11 01:09:19 mailhost postfix/qmgr[31818]: DA5736B578: from=<[email protected]>, size=6081, nrcpt=1 (queue active) […]
我使用这个工具检查了我的服务器IP: http://www.mxtoolbox.com/SuperTool.aspx 它出现在ivmSIP / 24列表中。 我能做些什么来将我的IP从这个列表中删除? 我有SPFlogging设置为允许此IP代表域发送邮件。
我有一个使用代理攻击我所服务的网站的scripter。 我注意到,他们倾向于通过软件使用特定的常见用户代理string(即http://www.itsecteam.com/en/projects/project1_page2.htm“Havij高级SQL注入软件”用user_agentstringMozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij )。 我知道任何值得join的破解软件都可能会修改它的用户代理string,但是对于脚本编写者来说,在某些时候我必须处理这个function。 那么,是否有任何软件通过匹配用户代理string来自动阻止访问和永久列入黑名单?
所以,现在我正在设法通过smtpd_recipient_restrictions设置一个传出邮件黑名单。 我遇到的问题是,当我预期他们被系统拒绝时,我的testing电子邮件正在交付。 这是/etc/postfix/main.cf # See /usr/share/postfix/main.cf.dist for a commented, more complete version # Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no # appending .domain […]
那里有很多黑名单,名声不好,名声很好。 此外,有些人build议仅在基于分数的系统(比如spamassassin )中使用RBL列表,而其他人(包括商业服务提供者,认为Barracuda )则广泛使用列表来硬屏蔽消息,甚至在查看之前。 使用RBL列表直接丢弃消息的问题来自误报,99%的时间将以基于分数的系统存活。 我想知道是否有列表可以很好地用于预先排队,即使它们在捕获真正的垃圾邮件方面可能不太有效也具有非常低的误报率。 这样的列表在结合灰名单的情况下会很好,在通过内容分析系统运行之前可以浏览邮件的大部分。 目前我们只使用Abuseat的CBL来阻止SMTP连接,而我们并不知道这是由于什么误报造成的。 Spamhaus项目的清单也看起来很有希望,但哪些? 或者全部(像使用ZEN)? 你使用(信任)RBL列表直接阻止SMTP源? 是否有任何已知的误报率的研究,或者你有任何经验报告? 你会推荐什么样的清单来进行这种过滤?
我有一个朋友最近购买了一个域名,他发现(购买后)明显被许多公司的防火墙或代理服务器阻止,它被黑名单数据库标记为色情。 为了将域名从黑名单上删除,他可以提出哪些常见的代理机构? 这不仅仅是一家公司,他正在考虑向某个行业推销基于订阅的服务,因此,任何联系特定的防火墙/代理pipe理员并手动更新黑名单的规模都不会很好。 提前致谢。 保罗
我刚刚得到这个反弹消息: <████████@att.net>: host scc-mailrelay.att.net[204.127.208.75] said: 521-88.208.246.34 blocked by sbc:blacklist.mailrelay.att.net. 521 DNSRBL: Blocked for abuse. See http://att.net/blocks (in reply to MAIL FROM command) 所以我想弄清楚为什么我们的服务器结束了他们的黑名单。 据我所知,网页链接并没有告诉我为什么。 从一些多RBL工具中,我得出结论,我们的IP只是在uceprotect.net的附带损害清单上(您可以通过付费订阅免除),并且我非常希望AT&T不使用它。 从邮件服务器日志,我发现到另一个@att.net地址的电子邮件两天前没有被阻止。 有没有人有任何想法,我怎么能找出哪里出了问题?