tag:forum.selfhtml.org,2005:/self nginx IP Sperre für Adressbereiche – SELFHTML-Forum 2020-08-25T16:03:00Z https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774789?srt=yes#m1774789 Edda im Homeoffice (verzweifelt) 2020-08-22T20:55:29Z 2020-08-22T20:55:29Z nginx IP Sperre für Adressbereiche <p>Hallo,</p> <p>ich habe mir gerade die Trafficstatistik angeschaut. Aufgefallen ist mir hier das extrem viel Traffic von Amazon AWS gezogen wird.</p> <p>Der IP Bereich ist extrem umfangreich von 18.128.0.0 - 18.255.255.255</p> <p>Bisher habe ich IP's immer einzeln per deny 192.168.1.2; über die von mir erreichbare Config von Plesk eingestellt.</p> <p>Nur wie kann ich eine Range sperren? Gefunden habe ich deny 18.128/255;</p> <p>Zu funktionieren scheint es laut Logdatein nicht, ich habe weiter Zugriffe. Hat hier jemand Ideen?</p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774790?srt=yes#m1774790 Rolf B 2020-08-22T21:38:24Z 2020-08-22T22:10:53Z nginx IP Sperre für Adressbereiche <p>Hallo Edda,</p> <p>ich bin an der Ecke nicht ganz firm, aber wenn, dann sollte es 18.128.0.0/9 sein. Eine <a href="https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing" rel="nofollow noopener noreferrer">CIDR</a>-Maske benötigt eine vollständig angegebene Basis-IP.</p> <p>Aber - wow - das halbe Class-A Netz 18 (wenn's denn Class A noch gäbe). Das sind eine Menge IP, die Amazon sich da genehmigt. Sicher, es ist nicht so frech wie früher, wo das MIT sich die komplette 18 reserviert hatte, aber 8 Mio Adressen sind in der Zeit von NAT und Hostname-Routing schon eine Menge Zeug.</p> <p>Wie kommt man auf das /9 Suffix?</p> <pre><code class="block">18.128.0.0 ist 00010010.10000000.00000000.00000000 18.255.255.255 ist 00010010.11111111.11111111.11111111 Gleichbleibend xxxxxxxx.x 9 Bits Entsprechende Maske: 11111111 10000000 00000000 00000000 255 128 0 0 </code></pre> <p>Die Langschreibweise der Maske wäre 18.128.0.0/255.128.0.0. Aber da sowas lästig ist, und die Maske ohnehin von links mit 1-Bits gefüllt ist, kürzt man das zu /9 ab.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774866?srt=yes#m1774866 Linuchs 2020-08-25T14:47:34Z 2020-08-25T14:47:34Z nginx IP Sperre für Adressbereiche <p>Hallo,</p> <p>wenn bei mir ein Programm länger als 3 sec Durchlauf hat, sendet es mir eine Mail mit den Details.</p> <p>Heute um 04:02 13 Aufrufe von IP 42.xxx.10.70, 71, 72, 83, 82, ...</p> <p>Ich speichere die IP / Uhrzeit und erst nach 3 sec wird diese IP wieder bedient, ansonsten <code>header("HTTP/1.0 429 Too Many Requests");</code></p> <p>Allerdings sieht es so aus: Während ich die IP in der Datenbank noch speichere, kommt schon der nächste „Schuß“ (mit anderen Parametern) von dieser IP und wird bearbeitet.</p> <p>Wie könnte ich das verhindern?</p> <p>Das volle Problem sehe ich nicht, denn die „Schüsse“, die weniger als 3 sec brauchen, poppen nicht auf.</p> <p>Bei dem heutigen Beispiel haben alle HTTP_USER_AGENT = <code>Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.4.2661.102 Safari/537.36; 360Spider</code></p> <p>Macht es Sinn, diesen Wert zum Blockieren zu verwenden?</p> <p>Wieso eigentlich stimmen sich mehrere Systeme ab, zur selben Zeit denselben Server mit Anfragen zu bombardieren?</p> <p>Linuchs</p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774791?srt=yes#m1774791 localhorst 2020-08-22T22:00:00Z 2020-08-22T22:00:00Z nginx IP Sperre für Adressbereiche <p>Hi,</p> <p>wäre es da nicht effektiver, wirkliche Störer gleich längerfristig für den gesamten Host auszuklammern, und nicht nur für den Webserver?</p> <p>Ich musste neulich die gesamten <a href="https://de.m.wikipedia.org/wiki/Microsoft_Azure" rel="nofollow noopener noreferrer">Microsoft-Azure</a>-Bereiche aussperren (Hunderttausende von IPs), nachdem die scheinbar alle mit Botware befallen waren und Microsoft nur geantwortet hat, dass sie sich für Handlungen ihrer Kunden nicht verantwortlich fühlen würden. Die Bots haben jedenfalls die gesamten Ranges IP für IP hochgeklappert und komplexe Scans gefahren. Da konnte man life zusehen und Wetten abschließen, wie lange der Host dem widersteht. Möglich wurde das aber vermutlich nur durch eine Macke in den M$-Produkten, die meines Wissens nach noch nicht behoben ist.</p> <p>LG<br> localhorst</p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774792?srt=yes#m1774792 Raketensicherheitsdienst 2020-08-23T08:13:39Z 2020-08-23T08:13:39Z nginx IP Sperre für Adressbereiche <p>Erstmal meine volle Zustimmung.</p> <blockquote> <p>Aber - wow - das halbe Class-A Netz 18 (wenn's denn Class A noch gäbe). Das sind eine Menge IP, die Amazon sich da genehmigt.</p> </blockquote> <p>Amazon AWS hat sogar noch mehr IP-Adressbereich:</p> <p><a href="https://ip-ranges.amazonaws.com/ip-ranges.json" rel="nofollow noopener noreferrer">https://ip-ranges.amazonaws.com/ip-ranges.json</a></p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774811?srt=yes#m1774811 Edda im Homeoffice (verzweifelt) 2020-08-24T12:24:34Z 2020-08-24T12:24:34Z nginx IP Sperre für Adressbereiche <p>Hallo Rolf,</p> <p>leider auch nicht... Schade, jemand anders noch eine Idee?</p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774793?srt=yes#m1774793 Raketensicherheitsdienst 2020-08-23T08:16:52Z 2020-08-23T08:16:52Z Erläuterungen zur Ressource <p><a href="https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#aws-ip-download" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html#aws-ip-download</a></p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774814?srt=yes#m1774814 localhorst 2020-08-24T12:57:38Z 2020-08-24T12:57:38Z nginx IP Sperre für Adressbereiche <p>Hi,</p> <p>mit <code>DENY</code> sähe das so aus</p> <p><code>Deny from 18.128.0.0/255.128.0.0</code></p> <p>Siehe Beschreibung z.B im Apache-Manual unter <a href="https://httpd.apache.org/docs/2.4/mod/mod_access_compat.html#allow" rel="nofollow noopener noreferrer"><code>Allow</code></a> Für NGINX müsstest Du das mal selber raussuchen.</p> <p>Besser wäre es aber, gleich <code>iptables</code> oder <code>nftables</code> zu benutzen. Musst Du vielleicht noch installieren.</p> <p><code>iptables -A INPUT -s 18.128.0.0/9 -j DROP</code></p> <p>und nicht vergessen, die aktuellen Rules auch persistent zu speichern, damit sie beim Neustart wieder geladen werden können.</p> <p>Und es bewährt sich, eine Dokudatei zusätzlich anzulegen, in der man sich die Sperren mit Range-Owner, Sperrzeitpunkt und Sperrgrund nochmal im Klartext merkt.</p> <p>Viel Erfolg<br> localhorst</p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774827?srt=yes#m1774827 Raketensicherheitsdienst 2020-08-24T17:22:14Z 2020-08-24T17:22:14Z nginx IP Sperre für Adressbereiche <p>Anleitung:</p> <p><a href="https://www.initpals.com/nginx/how-to-block-requests-from-specific-ip-address-in-nginx/" rel="nofollow noopener noreferrer">https://www.initpals.com/nginx/how-to-block-requests-from-specific-ip-address-in-nginx/</a></p> <p>Hinweis:</p> <p>Das verhindert nicht, dass der Request stattfindet. Aber der Aufrufer bekommt eine Fehlerseite (403 Forbidden). Ebenso sollte sich dieser Status in den Logfiles wiederfinden.</p> <p>Wenn Dir das nicht gefällt: <a href="https://forum.selfhtml.org/users/12802" rel="noopener noreferrer">Nimm den Tipp vom Horst und blockiere mit iptables</a>.</p> https://forum.selfhtml.org/self/2020/aug/22/nginx-ip-sperre-fur-adressbereiche/1774867?srt=yes#m1774867 Matthias Apsel matthias.apsel@selfhtml.org https://brückentage.info 2020-08-25T16:03:00Z 2020-08-25T16:03:00Z nginx IP Sperre für Adressbereiche <p>Hallo Linuchs,</p> <blockquote> <p>Wieso eigentlich stimmen sich mehrere Systeme ab, zur selben Zeit denselben Server mit Anfragen zu bombardieren?</p> </blockquote> <p>weil es nicht mehrere Systeme sind?</p> <p>Bis demnächst<br> Matthias</p> <div class="signature">-- <br> Du kannst das Projekt SELFHTML unterstützen,<br> indem du bei Amazon-Einkäufen <a href="https://smile.amazon.de/ch/314-570-45498" rel="nofollow noopener noreferrer">Amazon smile</a> (<a href="https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=202035970%5D" rel="nofollow noopener noreferrer">Was ist das?</a>) nutzt. </div>