Proxy/VPN IP Adressen automatisch sperren/droppen?

2 Antworten

Auf meinem Rootserver (Linux Debian 10) verbinden sich ständig wieder Wirgendwelche ungewollten VPN Adressen und richten grossen Schaden an.

Welchen Schaden richten diese Zugriffe an?

Was heißt "verbinden"? Welches Protokoll/welcher Dienst wird verwendet? Wenn die Verbindung über SSH erfolgt, hilft Fail2Ban. Ich habe das so konfiguriert, dass die IP-Adresse nach 3 erfolglosen Versuchen für 10 Minuten gesperrt wird. Erfolgt die Sperre zweimal innerhalb von einer Woche, ist sie für eine Woche gesperrt.

Der zweite Ansatz wäre, bekannte VPN-Adressen und Tor-Exit-Nodes per iptables zu verwerfen. Ich verwende dazu ipset. Entsprechende Listen erhältst Du unter:

https://check.torproject.org/torbulkexitlist

https://www.dan.me.uk/torlist/?exit

https://github.com/ejrv/VPNs

https://raw.githubusercontent.com/ejrv/VPNs/master/vpn-ipv4.txt

https://raw.githubusercontent.com/ejrv/VPNs/master/vpn-ipv6.txt

Einmal pro Woche hole ich diese Listen per curl und importiere sie in ipset. In iptables habe ich passende Regeln konfiguriert.

Kennt jemand eine Methode, ein Tool oder ein Script um solche suspekten IP-Adressen direkt und automatisch vom Server droppen zu lassen?

Ja, blocke alle Hoster-IPs und blocke alle IPv6-Adressen. Das müsste ~95% aller VPNs blocken.

Woher ich das weiß:Hobby – Verbringe zu viel Zeit mit der VPN-Materie

Was möchtest Du wissen?