Komplette AS per iptables sperren
Dank Hades aus dem Hetzner-Forum blockt es sich jetzt nicht nur leichter nach Ländern, sondern auch effizient nach Providern.
So wie meinen Lieblings-Kakerlaken-Hoster OVH.
Also, mal sehen, was OVH für ein AS hat…
http://bgp.he.net -> TADA AS16276
Unser Bash-Oneliner lautet:
iptables -N AS_DENY; iptables -I INPUT -j AS_DENY; whois -T route -i origin ASXXX | grep '^route:' | awk '{print $2}' | aggregate -q | xargs -n1 -I% iptables -A AS_DENY -s % -j DROP
oder
ip6tables -N AS_DENY; ip6tables -I INPUT -j AS_DENY; whois -T route6 -i origin ASXXX | grep '^route:' | awk '{print $2}' | aggregate -q | xargs -n1 -I% ip6tables -A AS_DENY -s % -j DROP
Und anstelle ASXXX halt dann AS16276.
Zugegeben, harter Tobak.
Aber manchmal erfordert es einfach einen Cut, um sich Performance zu sparen…