Jump to content
Калькуляторы

ipv6 и fail2ban

Как известно, одному абоненту ipv6 может быть выдано от /127 до /48(крупный клиент)

 

Каковы best practices на сегодняшний день относительно блокировки силами fail2ban? (какой префикс использовать при добавлении правила на блокировку?)

 

Как бы совсем недорого получить и /32 v6. И если банить по /64 или даже по /56, в этом случае атакующий может легко проводить атаку по переполнению кол-ва записей в ipset

Share this post


Link to post
Share on other sites

Добрый день, в жестком варианте можно ведь найти наименьшую общую суперсеть из A и B и добавить в бан, скажем /64, /64 -> /63, это упрощенно, обычно, придется сложнее вверх подниматься, но, как правило, в f2b записей не очень много, трудозатраты вряд ли будут высокими.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now