как заблокировать диапазон ip адресов
Как заблокировать IP на сайте
Надеюсь, теперь Вы знаете, как заблокировать доступ по IP для недображелателя, и даже всю его подсеть. Главное, помните, что в России очень распространена ситуация, когда пользователи сидят под одним IP-адресом. И из-за одного «негодяя» могут пострадать ни в чём не виноватые люди, поэтому блокируйте по IP только в самом крайнем случае.
Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!
Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.
Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.
Если Вы не хотите пропустить новые материалы на сайте,
то Вы можете подписаться на обновления: Подписаться на обновления
Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.
Порекомендуйте эту статью друзьям:
Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):
Комментарии ( 5 ):
А если нужно заблокировать все IP-адреса, кроме определённого диапазона адресов,(напр. диапазон IP Российской Федерации)
Михаил, для HTML сайта htaccess таким же образом работает?
уважаемые программисты, подскажите, как правильно перенаправить посетителя по ip или по ip диапазону-подсети на другой адрес? пробывал во такой вариант: RewriteEngine on RewriteCond %
Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.
Copyright © 2010-2021 Русаков Михаил Юрьевич. Все права защищены.
.htaccess доступ по IP
Доступ IP адреса к сайту
Стандартно вы можете проверить любой IP адрес и в случае подозрений заблокировать его в htaccess.
Можно прописать в самом конце, либо в блок модуля IfModule mod_headers.c
deny allow
В зависимости от порядка операторов в коде меняется логика работы сервера.
Защищаем htaccess и другие типы файлов
Ограничение доступа к админке по IP
О теории к практике.
Блокировка доступа к серверу по IP
Если IP адрес заблокирован в файле .htaccess, то бот или пользователь уже не получит доступ (сервер отдает код 403 «Forbidden Error«, «Доступ запрещен«).
Также можем сделать исключения для Яндекс, Google и других поисковых систем, и полезных сервисов через User-Agent. По наблюдениям поисковые системы используют запросы с IP-адресов, которые есть в черных списках. Поэтому чтобы не делать дополнительный запрос на проверку IP в спам-базах, мы можем разрешить по User-Agent.
Конечно в этом случае возникает вероятность подмены User-Agent хакером для обхода блокировки. В случае явных нагрузок и попыток взлома можно включить принудительную проверку всех IP, убрав проверку по User-Agent.
Для проверки IP-адреса на спамерскую и подозрительную деятельность я рекоменудую использовать сервис CleanTalk.
С помощью парсинга заголовка я определяю степень критичности IP адреса:
В зависимости от этого можно блокировать любой спам, либо только жесткий.
Ограничение доступа поможет избежать брутфорсинга и другой деятельности направленной на вывод сервера/сайта из строя.
Скрипт
Я уже писал, как можно блокировать ботов по User-Agent. Но я решил переписать код на основе «Ловушки для ботов».
Можете считать этот скрипт неким firewall на Apache для защиты сайта. Он поможет, если вас достали атаки спамеров, хакеров.
В корне сайта создаем 2 файла black_list.php и black_list.dat, ставим 600 права на файлы (или максимум 644).
Содержимое php файла:
Далее подключаем его в файлах индекса, конфигурации, коннекторах и в других местах, к которым чаще всего обращаются боты:
В идеале начнутся блокироваться всякие левые обращения, а нагрузка на сервер должна значительно уменьшиться.
Смотрим отчет в black_list.dat
Заходим в файл black_list.dat, и ищем подозрительные обращения.
Яндекс.Метрика: IP посетителей
Отслеживание IP-адресов в Метрике возможно только за счет их передачи в качестве параметров пользователя. Как я это делаю в ModX Revo:
Кусок кода в метрике:
Сниппет ModX: ipclient
В итоге если мы отловили спамерский IP адрес, то можем посмотреть через вебвизор, что там творит этот товарищ.
По наблюдениям: чаще всего пытаются вставить код, ищут поля и т.п. (инициализация XSS-атаки).
В Яндекс.Метрике смотрим отчет по параметру ip, «Стандартные отчеты» => «Содержание» => «Параметры визитов«:
Такая автоматизация через скрипт позволяет отсечь и заблокировать массу ненужных обращений на сайт, ботный трафик.
Предупреждаю, что скорее всего в начале вам необходимо будет составить свой белый список USER_AGENT, иначе могут не работать некоторые сервисы и т.п.
Как заблокировать IP или сайт с помощью PowerShell в Windows 10
PowerShell с модулем Netsecurity, который позволяет настраивать брандмауэр Windows. Вы можете использовать функцию — New-NetFirewallRule — в Netsecurity, чтобы заблокировать IP-адрес или веб-сайт с помощью PowerShell в Windows. Эта функция позволяет создать новое правило для входящего или исходящего соединения брандмауэра.
Блокировка IP или сайта с помощью PowerShell
Хотя блокировка диапазонов IP-адресов работает хорошо, блокировать веб-сайт или домен сложно. Это связано с тем, что к домену может быть подключено несколько IP-адресов и хотя вы можете заблокировать их, распознаватель DNS может каждый раз запрашивать другой IP-адрес.
Кроме того, иногда один и тот же IP-адрес может использоваться соответствующими службами и блокирование этого IP-адреса также будет означать блокирование других служб.
1] Блокировка IP или диапазона с помощью PowerShell
Используя эту команду, вы можете использовать один IP-адрес или диапазон IP-адресов. Выполните следующую команду в PowerShell.
IP-адрес и Домен.ru вы должны изменить на свои. IP указанный в конце параметра RemoteAddress, будет заблокирован. Любой веб-сайт или служба, которая разрешает это соединение, будет заблокирована.
Вы можете заменить опцию RemoteAddress опцией LocalAddress, если IP является IP-адресом локальной сети.
По завершении выполнения вы должны получить сообщение о состоянии: «Правило было успешно проанализировано из хранилища. (65536)». Откройте брандмауэр Windows и проверьте, доступна ли запись. После подтверждения вы сможете добавить больше с помощью PowerShell.
2] Блокировка веб-сайта или домена с помощью PowerShell
Поскольку функция не поддерживает блокировку URL, у нас есть два варианта. Сначала необходимо запросить все возможные IP-адреса этого домена и заблокировать их.
Второе — найти известные официальные диапазоны IP-адресов и заблокировать их. Последний имеет меньшие шансы случайно заблокировать другие службы по сравнению с первым. Тем не менее, если блокировка домена необходима, вы всегда можете использовать другое программное обеспечение для их блокировки.
Когда я использовал это с YouTube, он не работал, хотя прямой IP был заблокирован. Когда я использовал метод с Facebook все работало. Таким образом если сайт может быть разрешен с использованием нескольких IP-адресов, этот метод не будет работать.
Способы запрета по IP адресам и самоблокировка плагина iThemes Security…
Сегодня коротенько приведу примеры и возможные способы блокировки — Security — пользователей по их ip адресам.
Также коснёмся недавней статейки Плагин iThemes Security (Better WP Security) и разберёмся с проблемами — когда iThemes Security вероломно блокирует самого админа сайта; как при запрете доступа настроить исключения Lockout White List для своего IP, коли динамические или статические ip адреса.
как заблокировать IP адрес
А вообще, о разнице значений ip и о том, в чём же отличие динамических и статических ип-адресов, читайте: Почему у меня часто меняется IP-адрес.
Посему подробные разъяснения пропущу, но приступлю к делу.
Однако коротко напомню: динамические ip адреса имеют большинство пользователей. Эти адреса (значение цифрового индекса) меняются при каждом подключении компьютера к сети (если просто, то — при откл. и вкл. модема).
Статические ip — привязаны к определённому пользователю (компьютеру) как личный номер телефона, — постоянное значения ip сохраняется пока клиент поддерживает обслуживание, т.е. оплачивает. Статический ip платная забава, но — полезная!
185.3.30.33 — обычный пример ip-адреса…
…или (коли необходимо) отправить в баню целую подсеть попариться по-чёрному…
Ноль (перед слэш) стартовый домашний отсчёт «№» подсети.
255 — финальная цифра из возможных значений. Т. е. от и до…
Вот и всё! Таким «приветом» блокируется весь скоп айпишников подсети, хотя можно пойти и дальше… однако, это тема прошлого поста
А прописывать каждый такой «запрет» нужно с новой строки.
Теперь посмотрим …а как же можно исключить свой Ip из поля обзора плагина iThemes Security, и, соответственно, не подпасть под блокировку плагином самому администратору сайта?
первый совет, это приобрести статический ip-адрес.
как отключить блокировку iThemes Security если мой IP администратора забанен
Тут банальность проблемы вот в чём:
когда вы внесёте свой, к примеру, динамический адрес в доверенный Lockout White List белый список плагина, это спасёт вас на какое-то время.
Но стоит вам (точнее, интернет-системе ) поменять ип вашего компьютера — ПЛАГИН тут же спохватится и отправит вас в баньку по-чёрному, быть может и навечно.
…а вместо отображения сайта — трогательные надписи, типа: ip адрес временно заблокирован, или Вы были заблокированы из-за слишком большого числа неудачных попыток входа в систему, либо же ласково предупредит — Ваш ИП-адрес был помечен как опасный по iThemes безопасности сети и т.п.
Что ж, снова предстоит осилить путь до Базы Данных вашего блога и удалить «авторский» айпишник, чтобы плагин открыл доступ к сайту
Как это делается, изложено ТУТ
Но хлопотно предпринимать эти путешествия постоянно, так ведь?
Поэтому могу предложить временный вариант, который решит заморочку с самоблокировкой, так сказать.
Ну а вы тем временем цельтесь разумом на статический ip адресок…
Если наблюдали во времени цифровую структуру своего айпишека, то — заметили: ip, коли повезёт, в течение суток (мне иной раз везло) меняется только в последней группе цифр и неизменн значениями первых трёх групп (смотрите фото, кликнув)).
Однако, при каждом вашем входе в инет (любой перезагрузке системы), присваивается «новая переменная» четвёртой же группе десятичных чисел. И как факт — у вас новый уникальный адрес, который незнаком iThemes Security и не занесён в его Lockout White List.
И горилка утратит всякий скус, когда личная «дворняга» оставит вас шляться за собственной околицей админ-бара.
Но во всякой закавыке есть щель, как в заборе. И есть сонм способов оставаться хозяином своего кабака.
Следовательно, нужно «разрешить» доступ всей подсети (четвёртой комбинации цифр) а с ней и ВАМ. Думаю, ясно, что, коли меняется только последнее десятичное число, то — какой бы вариант компу ни был присвоен — доступ ВАМ будет открыт, да и процент опасности атаки вирусоносцев будет незначителен. Всего 255 вариантов. Зато время длительности личной сессии в консоли увеличится.
как внести свой ip адрес в белый лист плагина iThemes Security
Вот правило, которое дипломатично сработает в сговоре с нашим Security.
…или можно пойти дальше в плане широты диапазона, коли позволяет душа и простор вашей деятельности:
Понятно, да. что звёздочкой или «пустым местом))» после точки обозначен весь числовой диапазон ПОДСЕТИ…
Но тут не стоит забывать: расширяя возможности своего доступа (то бишь увеличивая диапазон), вы увеличиваете же щель для пролаза несознательных моралью граждан (хакерам) и различным ботам-скитальцам по просторам web-океянов.
Помните: запрет блокировки определённых ip — всего лишь вариант «борьбы» с плагином.
А для вашего (нашего) оптимального интернета, самая правильная защита своего сайта, это не борьба с плагином, но его внимательное изучение и настройка. И стоит как следует подумать и определиться, нужна ли вашему блогу какая-то серьёзная защита на данном этапе «его» творчества.
…конечно же, как вариант нужно приобрести статический ip адрес. И непременно выявлять 404 ошибки и поправлять — чаще всего именно из-за них вся эта морока с блоком и возникает.
И ещё: в Россейской действительности (вероятно по рассеянности)) одно число ip-адреса может быть присвоено двум пользователям, а то и… мулионам. Так шты — читайте, запоминайте, прикидывайте.
На этом занавес представления опускается…
…на рампы пыль печальная ложится…
Видео о различных способах добавления блоков рекламы на странички сайта…
IIS 8: динамическое ограничение доступа по IP
Сервер IIS 7 и предыдущие версии содержали встроенную функциональность, которая позволяла администраторам разрешить или запретить доступ к серверу для определенных IP-адресов (или их диапазонов). Когда IP-адрес блокировался, любой HTTP-клиент с таким IP получал в ответ на запрос к серверу HTTP-ошибку «403.6 Forbidden». Этот функционал позволял администраторам настроить доступ к их серверу на основе активности, которую они могли проанализировать по логам сервера. Тем не менее, это был ручной процесс. Даже при том, что управление функциями могло настраиваться через скрипты для определения подозрительных пользователей с помощью анализа логов утилитами типа Microsoft’s LogParser, все равно требовалось много ручной работы.
Решение
Пошаговая инструкция
Конфигурирование IIS для блокировки доступа на основе HTTP-запросов
Сервер IIS 8.0 может быть сконфигурирован для блокировки доступа к веб-сайтам на основе определенного числа запросов в единицу времени, которые производит клиент. Другим вариантом является блокировка на основе количества одновременных подключений клиента.
Для конфигурирования IIS для блокировки доступа основанной на числе HTTP-запросов проделайте следующие шаги:
Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.
Нажмите Edit Dynamic Restriction Settings на панели Actions.
В окне Dynamic IP Restriction Settings выберите Deny IP Address based on the number of concurrent requests, если вы хотите предотвратить слишком много одновременных подключений от пользователя. Если вы хотите предотвратить слишком большое количество запросов от пользователя, выберите Deny IP Address based on the number of requests over a period of time.
Конфигурирование поведения IIS при запрете IP-адресов
В IIS 7 и ранних версиях, сервер возвращал HTTP-ошибку «403.6 Forbidden», когда происходила блокировка IP-адреса. В IIS 8.0 администраторы могут сконфигурировать свой сервер для того, чтобы запрещать доступ с IP-адресов несколькими дополнительными вариантами.
Для того чтобы указать то, как должен поступать IIS, когда он блокирует IP-адрес, выполните следующие шаги:
Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.
Нажмите Edit Feature Settings на панели Actions.
Конфигурирование IIS для прокси-режима
Одной из проблем при IP-фильтрации является возможная ситуация, когда с одного IP-адреса на сервер обращаются множество разных клиентов (через firewall, балансировщик нагрузки, прокси). Так что для каждого такого клиента IP-адрес будет одинаковым. В IIS 8.0 администраторы могут сконфигурировать сервер с учетом HTTP-заголовка x-forwarded-for, в дополнение к IP-адресу клиента, для того, чтобы точнее определять какие именно запросы необходимо блокировать. Такое поведение называется «прокси-режимом».
Для конфигурирования IIS для прокси-режима проделайте следующие шаги.
Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.
Нажмите на Edit Feature Settings в панели Actions.
В окне Edit IP and Domain Restriction Settings выберите Enable Proxy Mode.
Заключение
В этом руководстве вы познакомились с конфигурирование IIS для динамического блокирования доступа к вашему серверу на основе числа запросов от клиента, а так же с настройкой поведения IIS, которое сервер будет использовать при блокировке потенциальных злоумышленников.
От переводчика
Вы можете прочитать обзорную статью о многих других нововведениях в IIS 8 (на русском) по этому адресу.
3 апреля в Самаре пройдет бесплатная конференция WebProfessionals, на которой будет рассказано про IIS 8 и другие элементы веб-платформы Microsoft. Регистрация уже открыта.