cisco 2611 + gotujący sie apache

Problemy związane z routingiem
ODPOWIEDZ
Wiadomość
Autor
kml
fresh
fresh
Posty: 5
Rejestracja: 16 lip 2006, 10:11

cisco 2611 + gotujący sie apache

#1

#1 Post autor: kml »

Drodzy koledzy,
Mam problem z którym nie moge sobie poradzić. Nadmienie na początku, ze cisco nabylem po przeczytaniu tego forum dwa lata temu a skonfigurowalem dzieki boskiej pomocy jego admina. (pozdrawiam!) Wiedze mam minimalnie podstawową.
Miesiac temu postawilem apache2 na ubuntu, a na nim swoja stronke. Naturalnie przekierowalem port 80 na serwer. Wszystko smigalo jak należy. Niestety z czasem zaczelo w logach pojawiac sie sporo wizyt z domenami, .fr .it .ru. Troche poczytalem i okazalo sie ze sa to róznego rodzaju spamboty...
Niestety od kilku dni generuja tak duży ruch, że otworzenie strony przez wlaściwego użytkownika graniczy z cudem!
Pytanie oczywiste... Jak sie przed tym uchronic. W logach widze ze bardzo zadko sa to zapytania typu www.mojastrona.pl a wiekszosc to 83.18.111.111
Prubuje wpisywac w pliku .htaccess adresy tych robotów. Jest to troche walka z wiatrakami, no codziennie pojawiaja sie nowe...
Czy można jakos juz na poziomie routera zablokowac tego typu ruch? Np na zasadzie ze wchodzi tylko zapytanie www.mojadomena.pl a nie 83.18.111.111
lub moze dalo by sie zablokowac IP który w ciagu minuty zapytuje wiecej niz 10 razy

Uprzejmie prosze poradźcie jak sie pozbyc tego problemu.
Z góry dzieki!!!
kml
Na górę
kt
wannabe
wannabe
Posty: 416
Rejestracja: 22 lut 2006, 09:01

#2

#2 Post autor: kt »

Nie mam pojęcia, czy zadziała, ale za pomocą nbar'a możesz spróbować odfiltrować zapytania http, które w url'u mają adres ip zamiast nazwy domeny ( naprowadzenie http://www.cisco.com/en/US/products/ps6 ... #wp1033958 ), i wyciąć ten ruch na routerze, ale nie wiem, czy to rozwiąże problem (nie wiem, jak te boty działają, czy sobie wracają i stąd się bierze duży ruch, czy po prostu sobie wpadają).
Na górę
marwooj
wannabe
wannabe
Posty: 59
Rejestracja: 20 maja 2006, 13:50

#3

#3 Post autor: marwooj »

możesz zmusić http://www.fail2ban.org/ aby edytował .htaccess za ciebie albo lepiej wstawiał
ACL do IOS przez Expect'a
Na górę
cobico
wannabe
wannabe
Posty: 284
Rejestracja: 27 maja 2006, 12:57
Lokalizacja: Milton Keynes, UK

#4

#4 Post autor: cobico »

W samym linuksie w iptables mozesz ustawic limit sesji z jednego ip/ limit czestotliwosci dostepu na dany port z jednego ip(grupy ip) i wiele wiele innych rzeczy. Ja jestem po ccna i troche ccnp liznolem wiec nie wiem co moze pomoc jesli chodzi o cisco. Ale na samym 2611 to chyba bieda bedzie. Mialem kiedys podobne problemy ;)
Na górę
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#5

#5 Post autor: kktm »

sposob podany przez kt wydaje sie byc jak najbardziej sensowny
W przykladach cisco z podanego linka tego chyba nie ma ale próbuj powalczyc z komendą

Kod: Zaznacz cały

match protocol http host www.blabla .pl
:)

i wzoc to do MQC

czyli jak sie matchuje to ok, a jak nie to drop, ot cala polityka w twoim przypadku :)

pochwal sie czy smiga
"Trust no one"
Na górę
cobico
wannabe
wannabe
Posty: 284
Rejestracja: 27 maja 2006, 12:57
Lokalizacja: Milton Keynes, UK

#6

#6 Post autor: cobico »

Wystarczy jak w iptables ustawisz z jaka czestotliwoscia hosty moga wysylac SYN na port 80 reszte odrzucaj i problem z glowy.
Na górę
ODPOWIEDZ

Wróć do „Routing”