Có cần thiết phải cấm IP độc hại bất kể cài đặt tường lửa mặc định bị từ chối/từ chối không?

BigRat

21:28, 01/07/2023

Tôi đang dùng Linux và sử dụng fail2ban làm hệ thống cấm. Cho đến nay, nó đã thu thập và cấm khoảng 150 nghìn IP độc hại, tôi lo ngại và tự hỏi liệu điều này có ngấu nghiến một lượng tài nguyên kha khá hay không. Như tôi nhìn thấy nó trên hàng đầu, nó có thời gian sử dụng CPU tương đối cao.. Câu hỏi của tôi là,

Nếu có nhiều địa chỉ IP bị cấm thì CPU của tôi có tốn nhiều tài nguyên hơn để lọc kết nối đến không? (Mối quan tâm của tôi bắt nguồn từ ý tưởng chưa được xác minh nếu CPU phải so sánh bất kỳ IP đến nào với danh sách cấm 150k để xác định quá trình lọc.)
Nếu tôi chỉ đơn giản đặt cài đặt tường lửa mặc định thành từ chối/từ chối, thì việc cấm hệ thống có cần thiết nữa không? Hay tôi nên để hệ thống cấm chạy bất kể? (nếu vậy, những lý do là gì?)

0 + 0

chia sẻ màn hình

ổ cứng

điều chỉnh hiệu suất

fail2ban

Bob

22:57, 01/07/2023

Nó phụ thuộc một chút vào cách những địa chỉ IP đó bị cấm. Việc kiểm tra tuần tự các quy tắc của bộ lọc mạng riêng lẻ sẽ âđắtâ hơn so với việc sử dụng `ipset` để lưu trữ địa chỉ IP nhưng ngay cả các hình phạt của lần đầu tiên thường không quá nghiêm trọng

Hồi đáp

Điểm:0

Server

sebres

13:01, 02/07/2023

nếu bạn sử dụng một số "đồng bằng" iptables cấm hành động trong fail2ban bạn có thể chuyển sang iptables-ipset hoặc để nftables hành động, ví dụ:

[MẶC ĐỊNH]
banaction = iptables-ipset[type=multiport]
banaction_allports = iptables-ipset[type=allports]

hoặc để iptables-ipset-proto6 và iptables-ipset-proto6-allports cho các phiên bản cũ hơn:

[MẶC ĐỊNH]
lệnh cấm = iptables-ipset-proto6
banaction_allports = iptables-ipset-proto6-allports

liên quan đến câu hỏi "từ chối/từ chối" ...

Mặc dù tôi phải thừa nhận rằng tôi không hiểu lắm câu "sau đó sẽ không cần thiết phải cấm hệ thống nữa" hay đúng hơn là làm thế nào một số cài đặt tường lửa mặc định có thể ngăn chặn điều đó. Nếu các cổng người nghe vẫn mở và có sẵn công khai.

Bất kỳ loại hệ thống cấm nào đều không cần thiết nếu bạn tin tưởng vào chính sách mật khẩu mạnh hoặc sử dụng khóa bất đối xứng thay vì mật khẩu bằng cách xác thực (để bruteforce không thực sự có ý nghĩa nữa) và tải nhất định bằng cách liên tục cung cấp các lần thử xác thực không thành công như cũng như lũ lụt trong nhật ký nhật ký là chấp nhận được đối với bạn. Hoặc nếu bạn chuyển sang một số quy tắc tường lửa nghiêm ngặt chỉ đưa vào danh sách trắng một số địa chỉ nhất định hoặc chỉ mở cổng trình nghe theo yêu cầu (cổng, http- hoặc bất kỳ cơ chế gõ nào khác), thì dịch vụ của bạn sẽ không thể truy cập công khai được nữa.

Đối với "bỏ so với từ chối", xem https://github.com/fail2ban/fail2ban/issues/2217#issuecomment-423248516 thảo luận.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is it necessary to ban malicious IP regardless of default firewall setting being deny/reject?

TH: จำเป็นหรือไม่ที่จะต้องแบน IP ที่เป็นอันตรายโดยไม่คำนึงว่าการตั้งค่าไฟร์วอลล์เริ่มต้นจะถูกปฏิเสธ/ปฏิเสธ?

RO: Este necesar să interziceți IP rău intenționat, indiferent de setarea implicită a firewall-ului care este refuzată/respinsă?

RU: Нужно ли запрещать вредоносный IP-адрес независимо от того, что по умолчанию брандмауэр настроен на запрет/отклонение?

VI: Có cần thiết phải cấm IP độc hại bất kể cài đặt tường lửa mặc định bị từ chối/từ chối không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.