хорошо, так что почти то же самое было задано раньше, но небольшие различия
У меня есть домашний лабораторный сервер, который я купил, чтобы учиться, и в итоге он выполнял несколько услуг.
один из них — медиа-сервер, и поскольку я хочу, чтобы он был открыт, И поскольку группа opendirectories на Reddit наткнулась на мой IP-адрес и прокричала его всему миру, я начал получать огромный трафик из таких мест, как Индия и Африка, которые направляли свои собственные сайты на мой медиатека для генерации трафика и денег для них.
я был немного не в плюсе от этого, поэтому с помощью друга я включил ufw и начал блокировать нарушителей, таких как ударить крота, сначала, а затем на больших диапазонах.
в конце концов я нашел один из тех веб-сайтов, на которых вы выбираете страны, которые вам не нужны, и он составляет список IP / подписок, которые я затем попробовал
""во время чтения строки; сделать ufw deny from $line to any; сделано < lowtrust.txt""
чтобы встроить в правила ufw. Это началось быстро со многих в секунду, но вскоре замедлилось до правила каждые десять секунд. затем у меня отключили электричество на день, и я потерял место после десяти дней пыхтения.
я попробовал еще раз, используя
""cat lowtrust.txt | awk '/^[^#]/ { print $1 }' | sudo xargs -I {} ufw deny from {} to any""
с подобными проблемами. в списке 110000 строк! и создание списка для разрешения, а не для отказа не сильно отличается.
судя по тому, что я прочитал, это далеко не оптимально и приведет к штрафам за скорость.
так что, за исключением покупки аппаратного брандмауэра (а затем повторного прохождения всего этого, чтобы выяснить, как получить список из 110 000 правил для коробки, которая, вероятно, хочет, чтобы я вводил их в веб-интерфейс одно за другим)... что мне делать? делать?
это только для порта 80, кстати, другие сервисы, которые я не возражаю против того, чтобы кто-то использовал, я просто хочу, чтобы люди не заставляли меня 24/7 многократно скачивать 50 ТБ файлов каждый месяц.
Я не хочу заставлять людей регистрироваться и входить в систему, это противоречит моим принципам сайта и только поощряет брутфорсеров и вандалов. как я уже сказал, я учусь, так что эта старая коробка не очень безопасна.
еще одна вещь, и я не уверен в актуальности, но могу ли я запретить людям получать доступ к моему серверу с помощью IP? большая часть плохого трафика поступает именно так, а не с моего интерфейса URL/веб-страницы. я бы сделал это со своего сервера, маршрутизатора или моего провайдера домена (namecheap)
edit: да, я знаю о vpn и cloudflare, но для меня важно, что я не полагаюсь на внешние сервисы.
будет ли ipset делать то, что я прошу?
