Нужно ли запрещать вредоносный IP-адрес независимо от того, что по умолчанию брандмауэр настроен на запрет/отклонение?

BigRat

01.07.2023, 21:28

Я на Linux и использую fail2ban в качестве системы банов. На данный момент он собрал и заблокировал около 150 тысяч вредоносных IP-адресов, и я обеспокоен и задаюсь вопросом, не поглотит ли это изрядное количество ресурсов. Как я это вижу на вершина, у него относительно высокое процессорное время. Мои вопросы:

Если заблокированных IP-адресов больше, то будет ли мой процессор потреблять больше ресурсов для фильтрации входящего соединения? (Мое беспокойство коренится в непроверенной идее, если ЦП должен сравнивать любой входящий IP-адрес с 150-тысячным списком банов для определения фильтрации.)
Если я просто установлю для параметра брандмауэра по умолчанию значение «запретить/отклонить», не будет ли больше необходимости в блокировке системы? Или у меня должна работать система банов независимо? (если да, то по каким причинам?)

0 + 0

совместное использование экрана

жесткий диск

настройка производительности

фейл2бан

Bob

01.07.2023, 22:57

Это немного зависит от того, как эти IP-адреса забанены. Последовательная проверка отдельных правил сетевого фильтра является более «дорогой», чем использование «ipset» для хранения IP-адресов, но даже штрафы за первый вариант обычно не слишком суровы.

Ответить

Рейтинг:0

Server

sebres

02.07.2023, 13:01

если вы используете некоторые из "обычных" iptables запрет действий в fail2ban, на который можно было переключиться iptables-ipset или к nftables действие, например:

[ПО УМОЛЧАНИЮ]
banaction = iptables-ipset[type=multiport]
banaction_allports = iptables-ipset[type=allports]

или к iptables-ipset-proto6 и iptables-ipset-proto6-allports для старых версий:

[ПО УМОЛЧАНИЮ]
banaction = iptables-ipset-proto6
banaction_allports = iptables-ipset-proto6-allports

что касается вопроса "отклонить/отклонить"...

Хотя, должен признаться, я не совсем понимаю фразу «тогда банить систему больше не нужно» или, скорее, то, как некоторые настройки брандмауэра по умолчанию могут предотвратить это. Если порты прослушивателя все еще открыты и общедоступны.

Любая система блокировки не нужна, если вы либо доверяете политикам надежных паролей, либо используете асимметричные ключи вместо паролей при аутентификации (так что брутфорс больше не имеет смысла) и определенную нагрузку за счет непрерывного обслуживания неудачных попыток аутентификации как ну и флуд в журналах для вас приемлем. Или, если вы переключитесь на какие-то строгие правила брандмауэра, вносящие в белый список только определенные адреса, или открывайте порты прослушивателя только по запросу (port-, http- или любые другие механизмы стука), чтобы ваши сервисы больше не были общедоступными.

Что касается «отбросить или отклонить», см. https://github.com/fail2ban/fail2ban/issues/2217#issuecomment-423248516 обсуждение.

0 + 0

Admin

Этот вопрос на других языках:

EN: Is it necessary to ban malicious IP regardless of default firewall setting being deny/reject?

TH: จำเป็นหรือไม่ที่จะต้องแบน IP ที่เป็นอันตรายโดยไม่คำนึงว่าการตั้งค่าไฟร์วอลล์เริ่มต้นจะถูกปฏิเสธ/ปฏิเสธ?

RO: Este necesar să interziceți IP rău intenționat, indiferent de setarea implicită a firewall-ului care este refuzată/respinsă?

RU: Нужно ли запрещать вредоносный IP-адрес независимо от того, что по умолчанию брандмауэр настроен на запрет/отклонение?

VI: Có cần thiết phải cấm IP độc hại bất kể cài đặt tường lửa mặc định bị từ chối/từ chối không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.