Вопросы Теги

Что лучше для запрета IP? В брандмауэре (shorewall) уровень, или на уровне IIS?

LapTop006 корректен. Оба из Ваших VMs имеют тот же MAC-адрес, заставляющий Ваш сервер DHCP присваивать тот же IP-адрес обоим VMs.

При запуске каждой виртуальной машины необходимо будет добавить параметр командной строки

-net nic,macaddr=aa:bb:cc:dd:ee:ff

так, чтобы каждый VM получил уникальный MAC-адрес. Замена aa:bb:cc:dd:ee:ff для любого допустимого MAC-адреса это не используется в Вашей сети. Я просто использую 00:00:00:00:00:01 для первого VM, 00:00:00:00:00:02 для второго VM и так далее.

Я закончил тем, что создал отдельный сценарий оболочки для запуска каждого VM. Например, для запуска моего OpenSolaris VM я использую...

#!/bin/bash

vdeq kvm \
    -localtime \
    -hda /data/kvm/opensolaris_hda.raw \
    -hdb /data/kvm/opensolaris_hdb.raw \
    -hdd /data/kvm/opensolaris_hdd.raw \
    -m 1024 \
    -no-acpi \
    -usb \
    -usbdevice tablet \
    -net nic,macaddr=00:00:00:00:00:04 \
    -net tap,script=/etc/kvm/kvm-ifup \
    -cdrom /usr/local/src/CD/osol-0811.iso \
    -boot c
3
задан 26 January 2010 в 14:02
3 ответа

Если Вы получаете большой трафик из этих спам-роботов, то Вы являетесь лучшими для отбрасывания их в брандмауэре. Отбрасывание в IIS означает создавать дополнительную нагрузку для Вашего веб-сервера (даже если это просто служит 403 страницам), и если это становится тяжелым затем, это могло бы влиять на производительность для реальных пользователей Ваших сайтов.

Я не глубоко знаком с Shorewall, но я также ожидал бы, что это, вероятно, более эффективно при этой фильтрации, чем IIS будет.

13
ответ дан 3 December 2019 в 04:37
  • 1
    Согласованный с отбрасыванием их в брандмауэре. Если IP размещает спам-робот, существует хороший шанс, ими управляют в большом ботнете и являются поставленными под угрозу машинами. Вы don' t хотят их касающийся Ваших хостов вообще. Прямо сейчас это - просто спам, но это могло вырасти для включения использования или DDos-атак. –  Dave Drager 26 January 2010 в 16:22

Отбрасывание Shorewall является лучшим, я предполагаю. Если можно получить IP-адреса этих спаммеров, можно динамично заблокировать их с командой "shorewall, отбрасывают/отклоняют ipaddress'. Можно даже записать сценарий, который может сделать это в режиме реального времени.

5
ответ дан 3 December 2019 в 04:37

Я соглашаюсь с Sam. Лучше останавливать их в perimiter Вашей сети (в брандмауэре). Думайте о нем как свое офисное здание или свой дом. Вы хотите позволить жулику в свой офис и надеяться, что Вы имеете все внутри защищенное и надеетесь, что не забыли или пропустили что-то, или Вы остановили бы их у двери так, чтобы они не могли войти вообще?

5
ответ дан 3 December 2019 в 04:37

Теги

Похожие вопросы