Jaroslav Votruba wrote: [...] > co se tyce tabulky s ceskyma domenama,nebylo by snadnejsi a rychlejsi > nejak kontrolovat domenu .cz ( i kdyz tam by asi byli dost > prodlevy-pokud je to vubec mozne- s DNS dotazama)
On je hlavne problem v tom, ze i na ceske IP adrese muze klidne byt neco.com nebo treba necojineho.de a presto se jedna o IP adresu umistenou v ceske republice. Spousta IP adres nema vubec prirazeny domenove zaznamy. Geo IP je podle me sestavovana z dat z registru IANA, kazdy mesic vychazi aktualizace a neni problem to jednou za cas zaktualizovat (tech zmen tam neni zas tak moc). Primarne to pouzivam proto, abych odstinil scriptovane bruteforce utoky na SSH, ktere jdou v 99.5% ze zahranici (at uz USA, nebo Cina). Z ceskych stroju se neco vyskytne tak jednou za mesic a to vetsinou zachyti prave ta druha cas pravidla pro ssh - tedy overload: max-src-conn 6, max-src-conn-rate 6/60, overload <ssh_bruteforce> flush global) Tim se automaticky IP adresa prida do tabulky ssh_bruteforce a je vystarano. (abych se tam sam nedostal, tak tam mam prave jeste predtim to pravidlo s goodguys) Navic se da pouzit port security/expiretable pro automatickou expiraci IP v tabulkach, takze treba po hodine / po jednom dnu se IP zase z tabulky vyradi. A aby toho nebylo malo, nocni security report mi do e-mailu pridava jednoduchym scriptem i rozdily z tabulek PF, takze jednou za den vidim, "co se delo". Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
