From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gremlin@basealt.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-3.3 required=5.0 tests=BAYES_00,
 HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=ham
 autolearn_force=no version=3.4.1
Date: Sat, 19 Apr 2025 13:22:50 +0300
From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20250419102250.GD10148@altlinux.org>
References: <f12024e343faeaa96a06e5663d01330e53a81e07.camel@altlinux.org>
 <1431727601.603.1745032033113.JavaMail.zimbra@taf.ru>
 <CAEdvWkT0cX8Y1bnj9KxopNKL-nC=G_aA+KkVDVJWn4Ds=g8NGQ@mail.gmail.com>
 <20250419100420.GC10148@altlinux.org>
 <6a774201-39c4-4616-a3cd-17c856cce6f2@basealt.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <6a774201-39c4-4616-a3cd-17c856cce6f2@basealt.ru>
Subject: Re: [devel] =?koi8-r?b?Z2l0LmFsdGxpbnV4Lm9yZyDOxSDEz9PU1dDFzg==?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 19 Apr 2025 10:22:52 -0000
Archived-At: <http://lore.altlinux.org/devel/20250419102250.GD10148@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Good ${greeting_time}!

On 2025-04-19 13:13:51 +0300, Anton Farygin wrote:

 >> iptables -t filter -A INPUT -i wan -p tcp --syn --dport 80 \
 >> -m recent --update --seconds 1 --hitcount 30 \
 >> -j REJECT --reject-with tcp-reset
 >> iptables -t filter -A INPUT -i wan -p tcp --syn --dport 80 \
 >> -m recent --set
 >> Да, прямо с таких параметров и начать, а потом корректировать
 >> их по мере необходимости.
 > Очень просто, но нет, так не работает. Китайские боты используют
 > крайне широкий диапазон IP адресов с pps примерно 10-15 в минуту
 > с одного адреса.

Именно так и работает: при попадании в --set адрес добавляется в
динамический список.

Есть и модуль для защиты датацентров, который умеет рубить блоки
IPv4 до /8 и IPv6 до /32, работающий в полностью прозрачном режиме
(сервер ставится в разрыв канала), но у нас не те масштабы.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net