จำเป็นหรือไม่ที่จะต้องแบน IP ที่เป็นอันตรายโดยไม่คำนึงว่าการตั้งค่าไฟร์วอลล์เริ่มต้นจะถูกปฏิเสธ/ปฏิเสธ?

BigRat

1/7/23 21:28

ฉันใช้ Linux และใช้ fail2ban เป็นระบบแบน จนถึงตอนนี้ มันได้รวบรวมและแบน IP ที่เป็นอันตรายไปแล้วประมาณ 150,000 รายการ และฉันก็กังวลและสงสัยว่าการดำเนินการนี้จะกินทรัพยากรในปริมาณที่พอเหมาะหรือไม่ อย่างที่ฉันเห็นบน สูงสุดมีเวลา CPU ค่อนข้างสูง .. คำถามของฉันคือ

หากมีที่อยู่ IP ที่ถูกแบนมากขึ้น CPU ของฉันจะใช้ทรัพยากรมากขึ้นเพื่อกรองการเชื่อมต่อขาเข้าหรือไม่ (ข้อกังวลของฉันมาจากแนวคิดที่ไม่ได้รับการยืนยันหาก CPU ต้องเปรียบเทียบ IP ใด ๆ ที่เข้ามากับ 150k-ban-list เพื่อพิจารณาการกรอง)
หากฉันเพียงแค่ตั้งค่าไฟร์วอลล์เริ่มต้นเป็นปฏิเสธ/ปฏิเสธ การแบนระบบจะไม่จำเป็นอีกต่อไปหรือไม่ หรือฉันควรให้ระบบแบนทำงานโดยไม่คำนึงถึง? (ถ้าเป็นเช่นนั้นมีเหตุผลอะไรบ้าง?)

0 + 0

การแชร์หน้าจอ

ฮาร์ดไดรฟ์

พีซีไอ

การปรับแต่งประสิทธิภาพ

ล้มเหลว 2 แบน

Bob

1/7/23 22:57

ขึ้นอยู่กับว่าที่อยู่ IP เหล่านั้นถูกแบนอย่างไร การตรวจสอบกฎ netfilter แต่ละรายการตามลำดับนั้น “แพง” มากกว่าการใช้ `ipset` เพื่อจัดเก็บที่อยู่ IP แต่ถึงแม้บทลงโทษของรายการแรกมักจะไม่รุนแรงเกินไป

ตอบกลับ

Score:0

Server

sebres

2/7/23 13:01

หากคุณใช้ "ธรรมดา" บางส่วน iptables การห้ามการกระทำใน fail2ban คุณสามารถเปลี่ยนไปใช้ iptables-ipset หรือเพื่อ nftable การดำเนินการ ตัวอย่างเช่น:

[ค่าเริ่มต้น]
banaction = iptables-ipset[ประเภท=หลายพอร์ต]
banaction_allports = iptables-ipset[ประเภท=ออลพอร์ต]

หรือเพื่อ iptables-ipset-proto6 และ iptables-ipset-proto6-allports สำหรับเวอร์ชันที่เก่ากว่า:

[ค่าเริ่มต้น]
banaction = iptables-ipset-proto6
banaction_allports = iptables-ipset-proto6-allports

สำหรับคำถาม "ปฏิเสธ / ปฏิเสธ" ...

แม้ว่าฉันต้องยอมรับว่าฉันไม่ค่อยเข้าใจประโยคที่ว่า "การห้ามระบบจะไม่จำเป็นอีกต่อไป" หรือว่าการตั้งค่าไฟร์วอลล์เริ่มต้นบางอย่างสามารถป้องกันสิ่งนั้นได้อย่างไร หากพอร์ตผู้ฟังยังคงเปิดอยู่และพร้อมใช้งานแบบสาธารณะ

ระบบการแบนใดๆ ก็ตามไม่จำเป็นหากคุณเชื่อถือนโยบายรหัสผ่านที่รัดกุมหรือใช้คีย์อสมมาตรแทนรหัสผ่านโดยการตรวจสอบสิทธิ์ (เพื่อให้การบังคับเดรัจฉานไม่สมเหตุสมผลอีกต่อไป) และการโหลดบางอย่างโดยการให้บริการอย่างต่อเนื่องของความพยายามตรวจสอบสิทธิ์ที่ล้มเหลวเป็น รวมทั้งวารสารบันทึกน้ำท่วมเป็นที่ยอมรับสำหรับคุณ หรือหากคุณต้องการเปลี่ยนไปใช้กฎไฟร์วอลล์ที่เข้มงวดซึ่งอนุญาตเฉพาะบางที่อยู่เท่านั้น หรือเปิดพอร์ตฟังตามต้องการเท่านั้น (พอร์ต-, http- หรือกลไกการเคาะอื่นๆ) ดังนั้นบริการของคุณจะไม่สามารถเข้าถึงได้แบบสาธารณะอีกต่อไป

สำหรับ "ปล่อย vs. ปฏิเสธ" ดู https://github.com/fail2ban/fail2ban/issues/2217#issuecomment-423248516 อภิปรายผล.

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Is it necessary to ban malicious IP regardless of default firewall setting being deny/reject?

TH: จำเป็นหรือไม่ที่จะต้องแบน IP ที่เป็นอันตรายโดยไม่คำนึงว่าการตั้งค่าไฟร์วอลล์เริ่มต้นจะถูกปฏิเสธ/ปฏิเสธ?

RO: Este necesar să interziceți IP rău intenționat, indiferent de setarea implicită a firewall-ului care este refuzată/respinsă?

RU: Нужно ли запрещать вредоносный IP-адрес независимо от того, что по умолчанию брандмауэр настроен на запрет/отклонение?

VI: Có cần thiết phải cấm IP độc hại bất kể cài đặt tường lửa mặc định bị từ chối/từ chối không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา