Filtrare IP non Italiani [IPTABLES]

[Riccardo Brazzale]

Ciao a tutti,

mi ritrovo (credo come molti) un sacco di ip bannati da fail2ban.

Analizzando questi indirizzi, mi accorgo che la maggior parte arriva da Cina, Hong Kong, Sud America, qualcosa dal Nord America, un po da Romania e Russia.

Vi chiedo se conoscete un modo per far si che le connessioni vengano accettate solo per IP Italiani o al massimo Europei, tanto per limitare l'accesso ai paesi che non mi interessano.

Grazie.

[Simone Rossetto]

Ciao Riccardo

Vi chiedo se conoscete un modo per far si che le connessioni vengano accettate solo per IP Italiani o al massimo Europei, tanto per limitare l'accesso ai paesi che non mi interessano.

Non so quanto siano affidabili o complete, ma ci sono liste degli IP assegnati a provider italiani tipo [1] e [2], puoi settare il firewall per accettare connessioni solo da quelli...

Ciao
Simone

[1] http://www.nirsoft.net/countryip/it.html
[2] http://www.ipdeny.com/ipblocks/data/countries/it.zone

[Riccardo Brazzale]

Il giorno 7 gennaio 2015 17:29, Simone Rossetto <simr...@gmail.com> ha scritto:

Non so quanto siano affidabili o complete, ma ci sono liste degli IP assegnati a provider italiani

Grazie!

Vedo cosa riesco a fare.

--

Riccardo Brazzale

[Davide Prina]

On 07/01/2015 12:17, Riccardo Brazzale wrote:

> Vi chiedo se conoscete un modo per far si che le connessioni vengano
> accettate solo per IP Italiani o al massimo Europei, tanto per limitare
> l'accesso ai paesi che non mi interessano.

ora non so che sito web o servizio metti a disposizione, ma così escludi
tutti quelli che usano tor o simile, non mi sembra una bella cosa.

Inoltre scoperto questo tuo filtraggio, se qualcuno vuole attaccarti è
sufficiente che usi uno degli innumerevoli proxy server disponibili in
Italia/Europa... così danneggi solo chi vuole usare i tuoi servizi.

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-ital...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listm...@lists.debian.org

To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/54AED354...@gmail.com

[Riccardo Brazzale]

Il giorno 8 gennaio 2015 19:58, Davide Prina <davide...@gmail.com> ha scritto:

ora non so che sito web o servizio metti a disposizione, ma così escludi tutti quelli che usano tor o simile, non mi sembra una bella cosa.

Ciao Davide,

E' ssh, ritengo che le password siano massicce ma mi rompe vedere continue mail da fail2ban che dice "ho bannato questo", "ho bannato quello" e tutti questi sono personaggi extraeuropa.
Semplicemente non voglio che neanche ci provino e sto cercando un sistema. A quelle macchine devo potermi collegare solo io e chi decido io. Tutto qua.

Ok, la storia dei proxy, se vogliono farmi del male magari ci riescono anche, ma sono convito che tanti fanno semplici prove  "tanto per vedere cosa succede".

Grazie!

--

Riccardo Brazzale

[Giulio Turetta]

Forse dico una cosa scontata.
Non usare la porta di default o usare il port-knocking¹?

Potrebbe essere più efficace.
Personalmente non lascio mai la porta di default per SSH: questo non ti
protegge da un attacco diretto ma ti protegge dal "rumore di fondo"
dello scan-and-try massivo.
Il port-knocking aggiunge un tocco di classe ;-)


¹ http://it.wikipedia.org/wiki/Port_knocking

On 08/01/2015 20:52, Riccardo Brazzale wrote:
>
> Il giorno 8 gennaio 2015 19:58, Davide Prina <davide...@gmail.com

> <mailto:davide...@gmail.com>> ha scritto:

[Davide Prina]

On 08/01/2015 21:07, Giulio Turetta wrote:
> Forse dico una cosa scontata.
> Non usare la porta di default o usare il port-knocking¹?

sì ottima scelta :-)

magari usare anche una coppia di chiavi con password, così aumenti la
sicurezza e lasci fuori tutti i non autorizzati

> On 08/01/2015 20:52, Riccardo Brazzale wrote:

>> E' ssh, ritengo che le password siano massicce ma mi rompe vedere
>> continue mail da fail2ban che dice "ho bannato questo", "ho bannato
>> quello" e tutti questi sono personaggi extraeuropa.
>> Semplicemente non voglio che neanche ci provino e sto cercando un
>> sistema. A quelle macchine devo potermi collegare solo io e chi decido
>> io. Tutto qua.

infatti, se è ssh privato puoi fare quello che vuoi.
Io pensavo fosse un sito web o qualcosa aperto ad un determinato
pubblico italiano/europeo.

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki

Sistema operativo: http://www.it.debian.org
GNU/Linux User: 302090: http://counter.li.org

Non autorizzo la memorizzazione del mio indirizzo su outlook


--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-ital...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listm...@lists.debian.org

To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/54AEE863...@gmail.com

[dea]

Buonasera lista !

E' un discorso già sollevato in passato ma lo rispolvero.
Per limitare i tentativi di connessione sulla porta 22 da persone non
autorizzate (ok, disattivo l'autenticazione con password e gestisco solo
l'accesso via certificato, ma non mi piace lo stesso lasciare la 22 aperta),
ormai da tempo uso questo sistema:

1) Le macchine autorizzate alla connessione sulla porta 22 dei server hanno
montato un demone che aggiorna una entry dns dinamico.

2) Sui server, uno script in cron risolve l'IP delle entry ed abilita la porta
22 via iptables a quegli ip.

Praticamente solo gli indirizzi che risolvono come da elenco, hanno accesso
alla 22.

Ciao

Luca

--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-ital...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listm...@lists.debian.org

To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/201501082...@corep.it

[Mauro]

Mauro

> Il giorno 08/gen/2015, alle ore 23:22, dea <d...@corep.it> ha scritto:
>
> Praticamente solo gli indirizzi che risolvono come da elenco, hanno accesso
> alla 22.

Permettetemi, ma visto che il trucco funzia, tanto vale usarlo:

Premettendo che il tentativo di accedere alla porta 22 e' per lo più condotto da script automatizzati (basta analizzare i log per rendersene conto), il semplice cambio di porta pulisce di molto i log, ma proprio tanto. Senza stare li a cercare di chiudere questo o quel range di ip, che trovo altamente inutile ( basta che una sottorete nostrana venga appestata fa bot e potenzialmente siamo daccapo), bastano pochi accorgimenti:

orta non standard,
Blocco accesso a root
Password serie e per la miseria, cambiata regolarmente
Se possibile, uso anche di certificati
Abilitazione solo della versione 2 del protocollo.

Vedrai che fail2ban potra' prendersi un po' di riposo

--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-ital...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listm...@lists.debian.org

To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Archive: https://lists.debian.org/21F74C07-DCCF-414F...@majaglug.net

[Riccardo Brazzale]

Il giorno 8 gennaio 2015 21:07, Giulio Turetta <giu...@sviluppoweb.eu> ha scritto:

 

o usare il port-knocking¹?

Bello questo, non lo conoscevo....

Grazie a tutti dei suggerimenti, intanto cambio le porte di dft e poi mi studio sto port-knocking.

Ciao

--

Riccardo Brazzale