İp banlama ile ilgili

yagmayok · 12 Eylül 2008

Merhaba,

Belki size komik gelebilir

Şimdi bir ip'den 80-100 bağlantı var. Netstat ile bunu görebiliyorum. Ayrıca siteye ait loglarıda inceledim. Çoks ayıda bağlantı var.

11.111.1.11 - - [12/Sep/2008:16:40:05 +0300] "GET //adres HTTP/1.1" 200 14783 "-" "-"

şeklinde bağlantılar var.

Ben

iptables -A INPUT -s 11.111.1.11 -j DROP şeklinde banlıyorum.

iptables -L INPUT yaptığımda da

DROP all -- dsl.static1111.1.1.1.ttnet.net.tr anywhere

şeklinde çıktısını alıyorum. Yaptığım tüm işlemler bunlar. En son çıktı ile yanlış anlamadıysam ip banlandı.

Ancak tekrar netstat çektiğimde bu ip ile gene 80-100 bağlantı görüyorum.

Bu durumun izahını biri bana yapabilir mi ?

Teşekkür ederim.

Angelo · 12 Eylül 2008

Bir süre asılı kalabilir.

yagmayok · 12 Eylül 2008

Peki angelo bu bir süre 30dk gibi bir değer olabilir mi ? Çünkü o kadar süre bağlı kaldı ve bu olayı 3 defa yaşadım üçünde de aynısı oldu, sonuç olarak banlamadı...

Anladığım kadarı ile en son netsat çektiğimde o ip numarasının görünmemesi lazım !

Loi · 12 Eylül 2008

yagmayok' Alıntı:
Peki angelo bu bir süre 30dk gibi bir değer olabilir mi ? Çünkü o kadar süre bağlı kaldı ve bu olayı 3 defa yaşadım üçünde de aynısı oldu, sonuç olarak banlamadı...

Anladığım kadarı ile en son netsat çektiğimde o ip numarasının görünmemesi lazım !

Netstat cıktısını gösterirsen daha iyi olur. Banladığın halde daha once istek bekleyen baglantilarin netstat sonuclarinda gozukmesi cok normal.

yagmayok · 12 Eylül 2008

Şuan adam gitti. Ama o sıra netstat şu şekilde oluyordu. En son çektiğimizde.

tcp 0 0 server.com:http dsl111111ttnet.:2074 TIME_WAIT

Tabi 80-100 bağlantı şeklinde.

Diyorsunuz ki daha önceki sonuçların çıkması normaldir. Pek fazla bilgim olmadığımı tekrarlamaya gerek yok herhalde. Eğer biraz farklı konuşursam kusura bakmayın, amacım sadece öğrenmek.

Bekleyen bağlantılar çıkıyordur diyorsunuz. ancak şu şekilde bir durum var. İpi banladıktan sonra sürekli netstat ile kotrol ediyorum. Bazen o ipe ait sonuç çıkmaz iken bazen de çıkıyor. Birde banladıktan sonra siteye ait loglardan da baktığımda ipe ait siteye giriş zamanı ben banladıktan sonra da gözüküyor. Bunlarıda değerlendirecek olursak, ben banlama yapmadan önceki girişlere ait olabilir, diyebilir miyiz ? Bilmem faydası olurmu ama bu sıralarda cpu 0-10 arasında gidip gelirken load 0-2 arasında gidip geliyor.

Loi · 12 Eylül 2008

yagmayok' Alıntı:
Şuan adam gitti. Ama o sıra netstat şu şekilde oluyordu. En son çektiğimizde.

tcp 0 0 server.com:http dsl111111ttnet.:2074 TIME_WAIT

Tabi 80-100 bağlantı şeklinde.

Diyorsunuz ki daha önceki sonuçların çıkması normaldir. Pek fazla bilgim olmadığımı tekrarlamaya gerek yok herhalde. Eğer biraz farklı konuşursam kusura bakmayın, amacım sadece öğrenmek.

Bekleyen bağlantılar çıkıyordur diyorsunuz. ancak şu şekilde bir durum var. İpi banladıktan sonra sürekli netstat ile kotrol ediyorum. Bazen o ipe ait sonuç çıkmaz iken bazen de çıkıyor. Birde banladıktan sonra siteye ait loglardan da baktığımda ipe ait siteye giriş zamanı ben banladıktan sonra da gözüküyor. Bunlarıda değerlendirecek olursak, ben banlama yapmadan önceki girişlere ait olabilir, diyebilir miyiz ? Bilmem faydası olurmu ama bu sıralarda cpu 0-10 arasında gidip gelirken load 0-2 arasında gidip geliyor.

Sunucu saatine göre kontrol et. Seninde gördüğün gibi netstat raporunda time_wait gozukuyor

yagmayok · 12 Eylül 2008

Loi' Alıntı:
Sunucu saatine göre kontrol et. Seninde gördüğün gibi netstat raporunda time_wait gozukuyor

Bunu üzerine şu şekilde birşey yaptım. Kendimi banladım. Sitede gezinebiliyorum. Netstat çekebiliyorum, çıkan sonuç

tcp 0 0 server:http dsl.dynamic859727213.t:4113 TIME_WAIT

Buradaki ip bana ait mesela...

Bu nasıl oldu o zaman ! Kendimi banladım ama rahatça gezinebiliyorum.

D-C-T · 12 Eylül 2008

Bu işte bir terslik var.Sanırım ban aktif olmuyor.

Loi · 12 Eylül 2008

Normal şartlarda asagidaki komut ile banlama yapabiliyor olman gerek:

iptables -I INPUT -s 66.66.66.66 -j DROP

Ben şahsen IPTABLES kullanmiyorum. Sunucumda APF kurulu ve bu tur yonetimleri onunla yapiyorum. Ornek komut:

apf -d 66.66.66.66

yagmayok · 12 Eylül 2008

Sorun çözüldü,

Peki nasıl çözüldü, onun açıklmasını yapim.

Ben ip banlarken "iptables -A INPUT -s 11.111.1.11 -j DROP" şekline kullanıyorum. ama Loi'nin verdiğini "iptables -I INPUT -s 66.66.66.66 -j DROP" kendimde deneyince işe yaradı ve hemen sunucudan attı.

Ama bu fark neden kaynaklanıyor anlayamadım ! Açıkçası öğrenmek amaçlı bu konuda birisi yorum yaparsa eminimki farklı alanlar içinde işime yarayacak bir bilgi olacaktır.

Not: Loi teşekkürler...

iyinet · 12 Eylül 2008

Öncelikle şunu söyleyeyim bu bir sorun değil.
iptables -I yada iptables -A ile IP adresini bloke ettiğiniz anda o adres makinanıza erişemez.
IP bloklamasından sonra netstat çıktısında bu ipleri görmeniz normal, bu bir sorun değil.
Bunu görmenizin sebebi Linux kernal ayarlarındaki default timemout değerinin bu şekilde olmasından kaynaklanıyor.

İşte burada bahsettiğim Full Optimizasyon esnasında bu kernel parametrelerini değiştirip makinanın bu tür gereksiz uzun süreli ayarlarını değiştirip kısaltıyorum. Daha pekçok kernel ayarı değiştirip maninanın response timeını ve timeout sürelerini mantıklı değerlere çekiyorum.

İp banlama ile ilgili

yagmayok

1

Angelo

0

yagmayok

1

Loi

0

yagmayok

1

Loi

0

yagmayok

1

D-C-T

0

Loi

0

yagmayok

1

iyinet

Root

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5