[MASOCH-L] faixas IPs brasileiras

Rubens Kuhl Jr. rubensk at gmail.com
Wed Feb 6 23:26:48 -03 2008


>     Maaas ... quem quiser, sinta-se à vontade. Nem precisava dessa
> mágica toda pra bloquear no iptables, já tem módulo pronto pra fazer
> isso no iptables (geoip) que lê inclusive a base de dados da maxmind.

O problema é que o geoip com base do mundo todo consome memória pacas,
além de questõezinhas chatas de compilar com versões mais recentes um
patch que foi feito para mais antigas.

Se é para decidir binário está/não está dentro do .br, ainda ficaria
com o ipset em cima do delegated do LACNIC.

Quanto ao bloqueio por IPs nacionais, existe um cenário onde essa é a
única salvação que é ataque DoS sem IP spoofing vindo de tudo quanto é
bot espalhado pelo planeta. Se seus clientes estão 99% na inet-br,
melhor deixar o diretor em férias sem acesso do que todos seus
clientes sem acesso.

Uma outra lista legal de montar é a de IPs de cada grande operadora
nacional; um whois pelo AS de cada uma no Registro.br já dá essas
informações, que são muito interessantes na construção de regras de
link-load-balance, na construção de DNS views etc.

DNS views aliás é outro meio de adotar ações evasivas em DoS: crie uma
view para IPs do Brasil resolverem DNS para o endereço certo, e mande
todo o resto do mundo para 127.0.0.1 ou alguma rede não alocada. Os
bots seguem a alteração de DNS e te deixam em paz enquanto você pensa
em jeitos mais inclusivos para não bloquear o diretor em férias.


Rubens



More information about the masoch-l mailing list