ASNでホストをブロックするにはどうすればよいですか？例-AS16276

そこには、特に有毒なホストがいくつかあります。サーバーへのIPアクセスを許可する必要はありません。ASNまたはその他のグローバル識別子を使用してそれらをブロックする方法はありますか？アプリ/サーバーの移植性のために、HTACCESSでこれを行うことを希望しますが、APFも問題ありません。

たとえば、次のホストをブロックします。IPの50％以上がすでにブラックリストに登録されているか、PacketFlipなどの企業のプロキシ出口ポイントを運用しています。

• AS4134-ChinaNet
• AS9808-広東省モバイルコム
• AS16276-OVH SAS
• AS15003-Nobis Tech Group
• AS36352-コロクロス
• AS29761-QuadraNet
• AS15895-キエフスターPJSC
• AS50915-SC Everhost SRL
• AS53889-Micfo
• AS57858-ファイバーグリッドOU

https://www.enjen.net/asn-blocklist/を使用できます

例、コロクロス：https ://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=htaccess

サーバーにダウンロードする必要があり、htmlが必要ない場合は、リンクの最後に＆api = 1を追加します。

mod_asnをチェックアウトします。

mod_asnは、BGPルーティングデータを使用して、自律システム（AS）と、特定の（クライアント）IPアドレスを含むネットワークプレフィックス（サブネット）を検索するApacheモジュールです。

mod_asnはスタンドアロンモジュールとして使用でき、検索結果はスクリプトまたは他のApacheモジュールで使用できます。たとえば、ダウンロードリダイレクタは、mod_asnによって提供されるルックアップ結果に基づいて決定を行うことができます。

私はこれについて直接的な経験はありませんが、有望に思えます。

このモジュールを直接使用した経験のある方は、この回答を自由に編集して、関連する特定の詳細を追加してください。

さらに、ネットワーク管理者と話し合って、ルーターでこれらのASNをブロックまたは無視することができます。これをアプリケーション構成の問題にする必要はありません。mod_asnアプローチの（大きな？）欠点は、いたずらなIPアドレスがホストまたはネットワーク上の他のサービスを攻撃しようとするのを止めないことです。設定されたApacheサーバーへのHTTP / HTTPSリクエストのみをドロップします。

だからこの声明に関して：CSF私はいくつかのことを明確にしたかった。asn-blocklistで自動化できます。必要なことは、URLの末尾に「＆api = 1」を追加することだけです。例：https : //www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=nginx&api=1

これにより、htmlなしでファイルの未加工バージョンがダウンロードされます。そのような後に必要なのは、wgetの使用、古いファイルのコピー、プログラムの再読み込み（nginx）についての単純なbashスクリプトで自動化することだけです。

#!/bin/bash

mkdir /tmp/asn
cd /tmp/asn

wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=nginx&api=1"
wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS133165&type=nginx&api=1"
## Repeat wget here for all the asns you want. 

cp /tmp/asn/* /etc/nginx/conf.d/
service nginx reload

rm -rf /tmp/asn
echo done...

実際には、ブロックリストを手動でインポートすることなく、ブロックリストをすばやく最新の状態に保つことができます。

それは、単にあなたの個人的なニーズに合わせてスクリプトを自動化するための使用事例/プラットフォームを理解することです。

わかりました、Munの答えはASNを見つけるためのスポットにありますが、静的チェック/更新に依存し、拒否リスト/ファイアウォールに貼り付けます。私はAPFを長い間使用しています。構成を確認すると、CSFファイアウォールにはASNまたは国コード（ISO）を介してブロックするオプションがあることがわかりました。Maxmind GEOIPデータベースを照会します。ここからの説明です/etc/csf/csf.conf

SECTION：国コードのリストと設定

CIDRに対する国コードの許可/拒否。次の2つのオプションでは、国全体のCIDR範囲を許可または拒否できます。CIDRブロックはMaxmind GeoLite Countryデータベースhttp://www.maxmind.com/app/geolitecountryから生成され、 利用可能なサービスに完全に依存しています

2文字のISO国コードを指定します。iptablesルールは着信接続専用です

さらに、ASN番号は、国コードもリストする下のコンマ区切りリストに追加することもできます。国番号の同じ警告がASNの使用に適用されます。自律システム番号（ASN）の詳細：http : //www.iana.org/assignments/as-numbers/as-numbers.xhtml

次のオプションのいずれかを使用する場合は、LF_IPSETの使用を検討する必要があります

警告：これらのリストは100％正確ではありません。また、一部のISP（AOLなど）は、クライアントに非地理的IPアドレス指定を使用しています

警告：一部のCIDRリストは巨大であり、各リストには着信iptablesチェーン内のルールが必要です。これにより、重大なパフォーマンスオーバーヘッドが発生し、状況によってはサーバーにアクセスできなくなる可能性があります。この理由により（特に）、これらのオプションの使用はお勧めしません

警告：VPSサーバーのリソースの制約のため、この機能は、非常に小さなCCゾーンを選択しない限り、このようなシステムでは使用しないでください。

警告：CC_ALLOWは、ファイアウォールのすべてのポートを介したアクセスを許可します。このため、CC_ALLOWの使用はおそらく非常に制限されており、CC_ALLOW_FILTERが推奨されます

各オプションは、CCのコンマ区切りリストです（例： "US、GB、DE"）

問題のconfオプションは次のとおりです。

CC_DENY=""

CC_ALLOW=""

また、confファイルには、さらにグルーミングをブロックするための、より具体的なフィルターがあります。