问如何阻断中国电信浙江ip范围

EN

若要使用Config Server防火墙阻止IP范围，请使用：

csf -d 122.224.216.0/21
csf -d 122.224.224.0/19
csf -d 122.225.0.0/17
csf -d 122.225.128.0/18

如果您希望阻止任何进一步的IP (范围)，那么我建议您查看这个工具：http://ip2cidr.com/

如果您想保护您的服务器免受Brute Force SSH攻击，可以使用以下方法：

1-如果您将始终从同一个IP地址连接到您的服务器，则可以将端口22的防火墙连接到除您自己的IP地址之外的所有东西。

iptables -A INPUT -p tcp -d 0/0 -s YOUR.IP.GOES.HERE --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 22 -j DROP

然后运行'iptables-save'

注意:如果您以这种方式设置IP表，那么如果您的IP曾经发生更改，则可能会导致您失去对服务器的ssh访问。

在非标准端口上运行sshd。由于大多数自动攻击只尝试在端口22上连接，这可能是隐藏自动攻击者的有效方法。要配置这一点，只需更改/etc/ssh/sshd_config中的端口行并重新启动ssh

1022港

3-使用ssh配置中的AllowUsers指令只允许某些用户或IP。在/etc/ssh/sshd_config中，可以指定如下所示的允许用户列表：

AllowUsers bob john root@11.22.33.44 root@99.88.77.66

这将允许用户'bob‘和'john’从任何地方登录，root用户只能从这两个IP地址登录。

4-使用强密码！蛮力的尝试将尝试常见的密码，如字典中的单词(或单词的组合)、名称和普通密码。强密码通常使用大小写字符、数字和非字母数字字符的组合.

更好的是，根本不用密码。相反，请在服务器上安装您的公钥，并使用它登录。如果所有用户都将使用公钥，则可以将PasswordAuthentication设置为“no”。若要仅为根用户禁用密码身份验证，请使用“没有密码的PermitRootLogin”。对于Debian/Ubuntu，您还需要关闭“UsePam”和“挑战者响应身份验证”。

6-如果您需要允许从任意地址登录，请考虑使用像DenyHosts或Fail2ban这样的程序。他们监视失败的登录，并将攻击者的IP地址添加到/etc/hosts.deny和/或更新防火墙规则以将其路由为空。还可以将DenyHosts配置为与全局数据库同步，这样您就可以主动拒绝其他用户已列入黑名单的主机。请记住，当您尝试登录时输入错误的密码可能会将您锁定在VPS之外。

7-在“iptable”中使用“hashlimit”：

iptables -I INPUT -m hashlimit -m tcp -p tcp --dport 22 --hashlimit 1/min 
--hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW -j ACCEPT

此规则限制每分钟从一个IP地址连接到SSH端口。

有关更多信息，“man”和“iptables -m散列限制--帮助”。

(资料来源：http://rimuhosting.com/knowledgebase/linux/misc/preventing-brute-force-ssh-attacks)