Discussion:
Blokkeren russische provider
(te oud om op te antwoorden)
Paul van der Vlis
2024-05-07 12:28:46 UTC
Permalink
Hoi,

Een klant heeft veel last van een Russische provider genaamd Bitterika,
die vanuit allerlei IP-ranges vervelende dingen doet op zijn website
(Apache).

Bitterika lijkt echt een grote club te zijn, want ik heb al 18 /24
subnetten geblokkeerd, en ze komen steeds weer met nieuwe.

Is er een mogelijkheid zo'n organisatie te blokkeren, of er achter te
komen welke subnetten ze hebben?

Ik ben aan het testen met geoip, om maar heel Rusland te blokkeren. Maar
ik weet niet goed hoe ik moet testen of het werkt, ik heb geen server in
Rusland. Ik heb nu zoiets in de Apache config:

<IfModule mod_ssl.c>
<VirtualHost *:443>
Servername naam.nl
(...)
<Directory /home/naam/www>
AllowOverride all
<RequireAll>
Require all granted
</RequireAll>
</Directory>
GeoIPEnable On
GeoIPDBFile /usr/share/GeoIP/GeoIP.dat
GeoIPScanProxyHeaders On
(...)
</VirtualHost>
</IfModule>

En in het .htaccess bestand:

# voor geoIP, blokkeer Rusland
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry
Deny from env=BlockCountry

Ik zou dat laatste liever ook in de apache config hebben zodat alles bij
elkaar staat, maar weet niet of dat kan.

Heeft iemand tips?

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Wil Taphoorn
2024-05-07 14:10:19 UTC
Permalink
Post by Paul van der Vlis
Bitterika lijkt echt een grote club te zijn, want ik heb al 18 /24
subnetten geblokkeerd, en ze komen steeds weer met nieuwe.
.. of er achter te komen welke subnetten ze hebben?
Lijstje: https://bgp.tools/as/35048#prefixes
--
Wil
Paul van der Vlis
2024-05-08 08:39:09 UTC
Permalink
Post by Wil Taphoorn
Post by Paul van der Vlis
Bitterika lijkt echt een grote club te zijn, want ik heb al 18 /24
subnetten geblokkeerd, en ze komen steeds weer met nieuwe.
.. of er achter te komen welke subnetten ze hebben?
Lijstje: https://bgp.tools/as/35048#prefixes
Bedankt!

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
tjoen
2024-05-07 16:06:04 UTC
Permalink
Post by Paul van der Vlis
Een klant heeft veel last van een Russische provider genaamd Bitterika,
die vanuit allerlei IP-ranges vervelende dingen doet op zijn website
(Apache).
Vreemd die naam resolved niet met .ru .com .net
Paul van der Vlis
2024-05-08 08:41:01 UTC
Permalink
Post by tjoen
Post by Paul van der Vlis
Een klant heeft veel last van een Russische provider genaamd
Bitterika, die vanuit allerlei IP-ranges vervelende dingen doet op
zijn website (Apache).
Vreemd die naam resolved niet met .ru .com .net
Ah, ik had een typefout gemaakt...

Het is Biterika.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Paul van der Vlis
2024-05-08 14:18:24 UTC
Permalink
Post by Paul van der Vlis
Hoi,
Een klant heeft veel last van een Russische provider genaamd Bitterika,
die vanuit allerlei IP-ranges vervelende dingen doet op zijn website
(Apache).
Bitterika lijkt echt een grote club te zijn, want ik heb al 18 /24
subnetten geblokkeerd, en ze komen steeds weer met nieuwe.
Is er een mogelijkheid zo'n organisatie te blokkeren, of er achter te
komen welke subnetten ze hebben?
Ik ben aan het testen met geoip, om maar heel Rusland te blokkeren. Maar
ik weet niet goed hoe ik moet testen of het werkt, ik heb geen server in
<IfModule mod_ssl.c>
<VirtualHost *:443>
      Servername naam.nl
      (...)
       <Directory /home/naam/www>
         AllowOverride all
         <RequireAll>
            Require all granted
         </RequireAll>
       </Directory>
      GeoIPEnable On
      GeoIPDBFile /usr/share/GeoIP/GeoIP.dat
      GeoIPScanProxyHeaders On
      (...)
</VirtualHost>
</IfModule>
# voor geoIP, blokkeer Rusland
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry
Deny from env=BlockCountry
Ik zou dat laatste liever ook in de apache config hebben zodat alles bij
elkaar staat, maar weet niet of dat kan.
Heeft iemand tips?
Vannacht was het een heel stuk rustiger, toch is het nog twee keer
gebeurd. Beide vanaf 188.130.188.0/24 terwijl dat die range volgens mij
toch ook Russisch is. Iemand een idee waarom dit toch ging?

Ik heb de configuratie kunnen testen met een test-site waar ik "NL"
blokkeerde, daarna kon ik er niet meer op. Als ik "DE" blokkeerde kon ik
er wel op.

Het lukte me niet om de dingen uit .htaccess in de Apache config te
zetten. Ik heb het liever in de Apache config omdat klanten en CMS
systemen (zoals Wordpress) in .htaccess kunnen schrijven. De Apache
config is mijn terrein.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Loading...