Сервер Подскажите как заблокировать чеоез iptables весь Китай

Подскажите как заблокировать чеоез iptables весь Китай.
Всем спасибо.

 

Я так понимаю вот так правильно ?
iptables -I INPUT ! -i lo -m geoip --src-cc CN -j DROP

 

но ведь это ничем не поможет....

 

Подскажите я прописываю вот это консоль пишет вот что
iptables -A INPUT -m geoip --src-cc CN,TW,KR -j DROP
No chain/target/match by that name.

Почему не принимает подскажите

 

Как вариант, пойти по самому простому пути- добавлять по правилу для каждой локации.

 

Я не стал париться и сменил хостинг, взял сервер у DDos-guard

 

У них же проблемно с фильтрацией UDP.

 

у ДДГ да, но тот у кого он взял, таких проблем нет.

 

У вас ?

 

не напрямую у нас, но у нашего клиента. В итоге сидит под нашей, но ограниченной защитой. По правде говоря скорее всего её хватит.

 

Смотрите, допустим я арендую железо у вас.
Что если залетает специфичная атака, по которой фильтры не отрабатывают. Каково время downтайма будет и каким образом фильтрующий комплекс реагирует на атаки такого рода ?
Добавлено: если не удобно в теме общаться, то можно перейти в лс

 

Можно и тут.
Во первых , если сервер будет иметь четко определенный трафик (например тимспик, или контрастрайк или подобный явный протокол) то на такой сервер включаются очень тонкие фильтры для именно такого трафика а на все остальные виды сильно снижается порог "доверия" и при превышении определенных пределов (заранее оговоренных с клиентом) система включает режим аномалии и начинает выявлять среди трафика низкого доверия повторяющиеся сегменты, как только находит таковые (1-5 сек) начинается блокировка сомнительного трафика.
По желанию клиента можно принудительно зарезать "трафик низкого доверия" на заранее оговоренную полосу с клиентом.
Во вторых при выборе типа канала "гарантированный" при обнаружении аномалии с сервера клиента снимаются все ограничения по полосе (даже если купленный канал 50 мегабит в момент аномалии у сервера открывается гигабитный канал) это сделано специально что бы не было лага пока эвристика выявляет "плохой" трафик. На самом деле какой канал открывается зависит от тарифа, градация такого "буста" от 1G до 20G (2 порта по 10G)

если представить ситуацию что наши 3 анализатора (циско аномали трафик аналайзер/андрисофт/фастнетмон) все таки не смогли выявить "плохой трафик" (5 минут трешхолд) то подключаются фильтры ДДГ и инженерная служба ддг начинает помогать нам отбивать атаку.
На самом деле последний сценарий отрабатывался только на тестах ибо до такого ни разу не доходило. Причина в первую очередь что очень сильные и сложные атаки идут как правило на крупные проекты с четким пониманием какой протокол для них легитимный и всегда висит полисер который выделяет полосу под этот легитимный протокол а весь сомнительный трафик режет до безобидных 10-20 мегабит (как клиент пожелает). Потому даже редкие ошибки фильтров не влияют на конечный результат.
Есть еще и фильтрация по ГЕО признаку а так же по АС, по штампам атак с международной системы A.T.L.A.S. но эти методики включались лишь на целенаправленном тестировании ибо надобности в них не было.

 

Практика в закрытии канала для новых подключений(если рассматривать случай с тс*), и работе лишь с уже открытыми/активными коннектами до атаки используется ?
У пары RU хостеров и одного UA хостера встречал такое.
*Если простыми словами для читающих: новые пользователи не могут подключиться к вашему серверу ТСа в момент действующей атаки, а те, кто уже были на сервере до начала атаки- спокойно могут общаться.

 

такая методика работает на shared каналах. (не совсем прямо так жестко как вы описали но принцип примерно тот же с эффектом заполнения вайтлиста новыми легитимными парами) , грубо говоря новые подключения проходят с 2-5 раза но таки проходят.
Если атака идет слишком долго то этот механизм отключается в пользу других. Но это делает человек, не автоматика.
Дешево и эффективно.

 

То есть, если я, арендующий сервера, который при заказе выбрал такой параметр (50/50 (shared)), то новые посетители сервера будут отшиваться, при попытке подключиться к серверу на всём протяжении атаки, я верно понял ?
А как же "сосед", с которым делится этот канал ?


Оу, увидел что поправили сообщение. Извиняюсь за радикальность в отношении новых подключений :)

 

сосед ничего не почувствует , в момент атаки вас выкидывает из шаред пула. Более того описанный эффект имеет эффект наполнения (новые подключения таки проходят просто не с первого раза) количество попыток зависит от сложности и специфичности атаки.
Если вас начнут атаковать именно таким методом (например начнут с 7 утра до 23 атаковать для создания эффекта "белого листа" то этот механизм будет временно на вас отключен) (мы тоже понимаем что защита должна обеспечивать работоспособность сервиса а не создавать эффект отключенного интернета)

 

Были тесты RU хостера с несколькими людьми. В итоге при атаке в ~70гбит 3 человека пытались подключиться к серверу, и на всем протяжении получаса не прошло ни одного коннекта к серверу, поэтому и решил что у вас аналогичная проблема может возникнуть.

Изменено: орфография.

 

боюсь я даже знаю о каком хостере идет речь :)))
но его всё устраивало запроса на "помочь" не было.

 

В лс отпишите о каком хостере думаете, а я скажу правильно это или нет)