tag:forum.selfhtml.org,2005:/selfnginx IP Sperre für Adressbereiche – SELFHTML-Forum2020-08-25T16:03:00Zhttps://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774789?srt=yes#m1774789Edda im Homeoffice (verzweifelt)2020-08-22T20:55:29Z2020-08-22T20:55:29Znginx IP Sperre für Adressbereiche<p>Hallo,</p>
<p>ich habe mir gerade die Trafficstatistik angeschaut. Aufgefallen ist mir hier das extrem viel Traffic von Amazon AWS gezogen wird.</p>
<p>Der IP Bereich ist extrem umfangreich von
18.128.0.0 - 18.255.255.255</p>
<p>Bisher habe ich IP's immer einzeln per
deny 192.168.1.2;
über die von mir erreichbare Config von Plesk eingestellt.</p>
<p>Nur wie kann ich eine Range sperren?
Gefunden habe ich
deny 18.128/255;</p>
<p>Zu funktionieren scheint es laut Logdatein nicht, ich habe weiter Zugriffe. Hat hier jemand Ideen?</p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774790?srt=yes#m1774790Rolf B2020-08-22T21:38:24Z2020-08-22T22:10:53Znginx IP Sperre für Adressbereiche<p>Hallo Edda,</p>
<p>ich bin an der Ecke nicht ganz firm, aber wenn, dann sollte es 18.128.0.0/9 sein. Eine <a href="https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing" rel="nofollow noopener noreferrer">CIDR</a>-Maske benötigt eine vollständig angegebene Basis-IP.</p>
<p>Aber - wow - das halbe Class-A Netz 18 (wenn's denn Class A noch gäbe). Das sind eine Menge IP, die Amazon sich da genehmigt. Sicher, es ist nicht so frech wie früher, wo das MIT sich die komplette 18 reserviert hatte, aber 8 Mio Adressen sind in der Zeit von NAT und Hostname-Routing schon eine Menge Zeug.</p>
<p>Wie kommt man auf das /9 Suffix?</p>
<pre><code class="block">18.128.0.0 ist 00010010.10000000.00000000.00000000
18.255.255.255 ist 00010010.11111111.11111111.11111111
Gleichbleibend xxxxxxxx.x 9 Bits
Entsprechende Maske: 11111111 10000000 00000000 00000000
255 128 0 0
</code></pre>
<p>Die Langschreibweise der Maske wäre 18.128.0.0/255.128.0.0. Aber da sowas lästig ist, und die Maske ohnehin von links mit 1-Bits gefüllt ist, kürzt man das zu /9 ab.</p>
<p><em>Rolf</em></p>
<div class="signature">-- <br>
sumpsi - posui - obstruxi
</div>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774866?srt=yes#m1774866Linuchs2020-08-25T14:47:34Z2020-08-25T14:47:34Znginx IP Sperre für Adressbereiche<p>Hallo,</p>
<p>wenn bei mir ein Programm länger als 3 sec Durchlauf hat, sendet es mir eine Mail mit den Details.</p>
<p>Heute um 04:02 13 Aufrufe von IP 42.xxx.10.70, 71, 72, 83, 82, ...</p>
<p>Ich speichere die IP / Uhrzeit und erst nach 3 sec wird diese IP wieder bedient, ansonsten <code>header("HTTP/1.0 429 Too Many Requests");</code></p>
<p>Allerdings sieht es so aus: Während ich die IP in der Datenbank noch speichere, kommt schon der nächste „Schuß“ (mit anderen Parametern) von dieser IP und wird bearbeitet.</p>
<p>Wie könnte ich das verhindern?</p>
<p>Das volle Problem sehe ich nicht, denn die „Schüsse“, die weniger als 3 sec brauchen, poppen nicht auf.</p>
<p>Bei dem heutigen Beispiel haben alle HTTP_USER_AGENT = <code>Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.4.2661.102 Safari/537.36; 360Spider</code></p>
<p>Macht es Sinn, diesen Wert zum Blockieren zu verwenden?</p>
<p>Wieso eigentlich stimmen sich mehrere Systeme ab, zur selben Zeit denselben Server mit Anfragen zu bombardieren?</p>
<p>Linuchs</p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774791?srt=yes#m1774791localhorst2020-08-22T22:00:00Z2020-08-22T22:00:00Znginx IP Sperre für Adressbereiche<p>Hi,</p>
<p>wäre es da nicht effektiver, wirkliche Störer gleich längerfristig für den gesamten Host auszuklammern, und nicht nur für den Webserver?</p>
<p>Ich musste neulich die gesamten <a href="https://de.m.wikipedia.org/wiki/Microsoft_Azure" rel="nofollow noopener noreferrer">Microsoft-Azure</a>-Bereiche aussperren (Hunderttausende von IPs), nachdem die scheinbar alle mit Botware befallen waren und Microsoft nur geantwortet hat, dass sie sich für Handlungen ihrer Kunden nicht verantwortlich fühlen würden. Die Bots haben jedenfalls die gesamten Ranges IP für IP hochgeklappert und komplexe Scans gefahren. Da konnte man life zusehen und Wetten abschließen, wie lange der Host dem widersteht. Möglich wurde das aber vermutlich nur durch eine Macke in den M$-Produkten, die meines Wissens nach noch nicht behoben ist.</p>
<p>LG<br>
localhorst</p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774792?srt=yes#m1774792Raketensicherheitsdienst2020-08-23T08:13:39Z2020-08-23T08:13:39Znginx IP Sperre für Adressbereiche<p>Erstmal meine volle Zustimmung.</p>
<blockquote>
<p>Aber - wow - das halbe Class-A Netz 18 (wenn's denn Class A noch gäbe). Das sind eine Menge IP, die Amazon sich da genehmigt.</p>
</blockquote>
<p>Amazon AWS hat sogar noch mehr IP-Adressbereich:</p>
<p><a href="https://ip-ranges.amazonaws.com/ip-ranges.json" rel="nofollow noopener noreferrer">https://ip-ranges.amazonaws.com/ip-ranges.json</a></p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774811?srt=yes#m1774811Edda im Homeoffice (verzweifelt)2020-08-24T12:24:34Z2020-08-24T12:24:34Znginx IP Sperre für Adressbereiche<p>Hallo Rolf,</p>
<p>leider auch nicht... Schade, jemand anders noch eine Idee?</p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774793?srt=yes#m1774793Raketensicherheitsdienst2020-08-23T08:16:52Z2020-08-23T08:16:52ZErläuterungen zur Ressource<p><a href="https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#aws-ip-download" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#aws-ip-download</a></p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774814?srt=yes#m1774814localhorst2020-08-24T12:57:38Z2020-08-24T12:57:38Znginx IP Sperre für Adressbereiche<p>Hi,</p>
<p>mit <code>DENY</code> sähe das so aus</p>
<p><code>Deny from 18.128.0.0/255.128.0.0</code></p>
<p>Siehe Beschreibung z.B im Apache-Manual unter <a href="https://httpd.apache.org/docs/2.4/mod/mod_access_compat.html#allow" rel="nofollow noopener noreferrer"><code>Allow</code></a>
Für NGINX müsstest Du das mal selber raussuchen.</p>
<p>Besser wäre es aber, gleich <code>iptables</code> oder <code>nftables</code> zu benutzen. Musst Du vielleicht noch installieren.</p>
<p><code>iptables -A INPUT -s 18.128.0.0/9 -j DROP</code></p>
<p>und nicht vergessen, die aktuellen Rules auch persistent zu speichern, damit sie beim Neustart wieder geladen werden können.</p>
<p>Und es bewährt sich, eine Dokudatei zusätzlich anzulegen, in der man sich die Sperren mit Range-Owner, Sperrzeitpunkt und Sperrgrund nochmal im Klartext merkt.</p>
<p>Viel Erfolg<br>
localhorst</p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774827?srt=yes#m1774827Raketensicherheitsdienst2020-08-24T17:22:14Z2020-08-24T17:22:14Znginx IP Sperre für Adressbereiche<p>Anleitung:</p>
<p><a href="https://www.initpals.com/nginx/how-to-block-requests-from-specific-ip-address-in-nginx/" rel="nofollow noopener noreferrer">https://www.initpals.com/nginx/how-to-block-requests-from-specific-ip-address-in-nginx/</a></p>
<p>Hinweis:</p>
<p>Das verhindert nicht, dass der Request stattfindet. Aber der Aufrufer bekommt eine Fehlerseite (403 Forbidden). Ebenso sollte sich dieser Status in den Logfiles wiederfinden.</p>
<p>Wenn Dir das nicht gefällt: <a href="https://forum.selfhtml.org/users/12802" rel="noopener noreferrer">Nimm den Tipp vom Horst und blockiere mit iptables</a>.</p>
https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774867?srt=yes#m1774867Matthias Apselmatthias.apsel@selfhtml.orghttps://brückentage.info2020-08-25T16:03:00Z2020-08-25T16:03:00Znginx IP Sperre für Adressbereiche<p>Hallo Linuchs,</p>
<blockquote>
<p>Wieso eigentlich stimmen sich mehrere Systeme ab, zur selben Zeit denselben Server mit Anfragen zu bombardieren?</p>
</blockquote>
<p>weil es nicht mehrere Systeme sind?</p>
<p>Bis demnächst<br>
Matthias</p>
<div class="signature">-- <br>
Du kannst das Projekt SELFHTML unterstützen,<br>
indem du bei Amazon-Einkäufen <a href="https://smile.amazon.de/ch/314-570-45498" rel="nofollow noopener noreferrer">Amazon smile</a> (<a href="https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=202035970%5D" rel="nofollow noopener noreferrer">Was ist das?</a>) nutzt.
</div>