Salve,
sono sulla via della disperazione.
Ho un grandissimo problema, su una porta ho circa 10 accessi al secondo da parte di programmi bot.
Provengono tutti da proxy stranieri.
Ho provato ad arginare il problema (ho inserito tramite script circa 22.000 proxy su iptables).
Ma niente da fare.
Che voi sappiate esiste un software che permette l'accesso tramite whitelist ai soli ip italiani? oppure che permetta di blacklistare determinati paesi...

Ho cercato su internet ma ho trovato ben poco! o meglio quello che ho trovato non è stato utile per niente...

Distribuzione?

Ti do una Debian d'ufficio.
Iptables & GeoIP on Debian squeeze (http://william.shallum.net/random-notes/iptables-and-geoip-on-debian-squeeze).

si hai ragione scusami, sto fuso...
ubuntu 10.04 server

Fuochino!

Dovresti poterti basare sulla guida che ti ho proposto:Bonus! How to do it on Ubuntu 10.04 Lucid

Scripts not included, use the ones in the 1.28 source package (see above). Only difference is location is /var/geoip/{LE,BE}

allora:

Bad luck, the kernel headers for the target kernel version could not be found and you did not specify other valid kernel headers to use.

If the running kernel has been shipped with the Debian distribution, please install the package linux-headers-3.2.13-grsec-xxxx-grs-ipv6-64. If your kernel source tree (or headers) is located in some non-usual location, please set the KERNELDIRS environment variable to the path of this directory, or (alternatively) specify the source directory we build for with the --kernel-dir option in module-assistant calls.
Package xtables-addons-source was not built successfully, see /var/cache/modass/xtables-addons-source*buildlog* for details!

da quello che ho letto in giro potrebbe essere colpa del kernel compilato dal provider, e non quello "standard".
Possibile?

Sei in hosting, il kernel lo han fatto loro.
Gli header immagino non li forniscano.

È un po' azzardato ipotizzare di costruire gli header basandosi sull'eventuale config disponibile e gli indizi forniti dal nome del kernel sulle patch applicate.

Questo script scritto al volo usa questo file (http://software77.net/geo-ip/?DL=1&x=Download) per creare una lista di tutti i range registrati di un paese, specificato col suo codice a 2 o 3 lettere:#!/bin/bash

function long2IP(){
local IP=$1
local NET=
NET=".$(( IP - (IP >> 8 << 8 ) ))${NET}"
(( IP >>= 8 ))
NET=".$(( IP - (IP >> 8 << 8 ) ))${NET}"
(( IP >>= 8 ))
NET=".$(( IP - (IP >> 8 << 8 ) ))${NET}"
(( IP >>= 8 ))
NET="${IP}${NET}"
echo $NET
}

ip1=""
ip2=""
while read RANGE; do
for ip in $RANGE; do
if [ -n "$ip1" ]; then
ip2=$(echo $ip | sed -e 's/^"//g' -e 's/"$//g')
else
ip1=$(echo $ip | sed -e 's/^"//g' -e 's/"$//g')
fi
done
SUFFIX=$(echo -e "ibase=10\n obase=2\n $(( $ip2 - $ip1 ))" | bc -q)
echo "$(long2IP $ip1)/$(( 32 - ${#SUFFIX}))"

ip1=""
ip2=""
done < <(grep -v ^# "$1" | grep \"$2\" | cut -d, --output-delimiter=\ -f 1,2)
Esempio d'uso (nome script list_country.sh):bash list_country.sh IpToCountry.csv ITDovresti quindi dire ad iptables di accettare connessioni alla/e porte attaccate solamente da queste reti.

ciao
grazie dell'aiuto;
perdonami ho provato ad applicare quanto mi hai scritto ma non ho ben capito quello che ho fatto (purtroppo non ho risolto)

Non sono riuscito ad interpretare lo script, ma se ho ben capito aggiunge dalla lista di indirizzi (IpToCountry.csv) tutti gli ip italiani conosciuti.

Quello che voglio dire, io dovrei pero' tramite una regola bloccare tutte le connessioni in entrata e permettere solo quelle giusto?

grazie come sempre...