If you notice a lot of visits to your web site from places you don't do business or if you see a lot of blocked attempts to hack into your server from certain countries, you might find it useful to attempt to block traffic from those places using your server firewall manager. If you use the Si nota muchas visitas a su sitio web desde lugares en los que no hace negocios o si ve muchos intentos bloqueados de hackear su servidor desde ciertos países, puede que le resulte útil intentar bloquear el tráfico de esos lugares. usando el administrador de firewall de su servidor. Si usa el popular ConfigServer Firewall (CSF), you can set up such a block quite easily puede configurar dicho bloque con bastante facilidad.
| Table of Contents | ||
|---|---|---|
|
Considerations
Before you begin, there are a few things you should consider before implementing a country-wide block in CSF.
- Blocking an entire country is not an exact science: This feature works by blocking a list of IP addresses that are believed to currently resolve to locations within a specific country. IP address ranges can and do move periodically, and the list of IPs is only as good as how carefully and frequently it gets updated. You could end up accidentally blocking some traffic from other countries or letting through some traffic from the target country.
- Blocking an entire country may have unintended consequences for your website: You never know when you might miss out on an opportunity because someone cannot get through to your site. Whether it is an expat looking for a little slice of home, or a foreign media site looking to do a piece about you, those people won't be able to see your site and will move on.
- Blocking a lot of IPs can slow down access to your server. When you implement a block like this there is a lot of work CSF needs to do every time an IP attempts to access your server. For just a few IP blocks your server will likely be fine, but when you start blocking entire countries the IP list gets quite long and your server may not be able to keep up with the load. This will slow down access for everyone to your server, not just stop those from a target country. In fact, if you set up a block for too many IPs you may completely overwhelm your server altogether and end up stopping all traffic.
- Hackers have means that regular users do not: Hackers can often easily get around a block by this by using VPN connections or a network of infected devices from other countries.
- If you do decide to block an entire country, consider making the block temporary: If you're getting a lot of bad traffic from a particular location, try blocking it for a while and then lifting the block after a bit of time has passed. The hackers or bad traffic may have moved on to easier targets.
If you're still intent on implementing a country-wide block via CSF, read on.
Implementing a Block
This article assumes you already have a supported server with CSF installed and the web interface configured on your server platform.
| Info |
|---|
The screenshots in this article show CSF from within WHM (cPanel), but the UI should look similar on all supported platforms. If you prefer to forego working in the web interface, you could always manually edit the csf.conf file and restart CSF from the command line. |
- Log in and access CSF on your platform of choice.
- You can click the CSF tab at the top of the page or scroll down the list of options from the main interface until you find the Firewall Configuration button. Click it.
- The CSF configuration file is enormous, so rather than hunting manually for the section we are interested in, select Country Code Lists and Settings from the drop-down list near the top of the screen. This will automatically show only the section that we need.
- The first editable item in this section is the one we need, CC_DENY:
- Enter a comma separated list of ISO country codes into that field.
- When you are done, scroll all the way to the bottom of the page and click the Change button to apply your changes to the csf.conf file.
- Finally, click the Restart csf+lfd button to immediately implement the changes you just made.
Testing the Changes
The only reliable way to test your block is to try to access your site from an IP within the range you just blocked.
Consideraciones
Antes de comenzar, hay algunas cosas que debe considerar antes de implementar un bloque nacional en CSF.
- Bloquear un país completo no es una ciencia exacta: esta función funciona bloqueando una lista de direcciones IP que se cree que actualmente se resuelven en ubicaciones dentro de un país específico. Los rangos de direcciones IP pueden moverse y se mueven periódicamente, y la lista de IP es tan buena como el cuidado y la frecuencia con que se actualiza. Podría terminar bloqueando accidentalmente parte del tráfico de otros países o dejando pasar parte del tráfico del país de destino.
- El bloqueo de un país completo puede tener consecuencias no deseadas para su sitio web: nunca sabe cuándo puede perder una oportunidad porque alguien no puede acceder a su sitio. Ya sea que se trate de un expatriado que busca una pequeña parte de su hogar o de un sitio de medios extranjeros que busca hacer un artículo sobre usted, esas personas no podrán ver su sitio y seguirán adelante.
- El bloqueo de muchas direcciones IP puede ralentizar el acceso a su servidor. Cuando implementa un bloque como este, hay mucho trabajo que debe hacer CSF cada vez que una IP intenta acceder a su servidor. Por solo unos pocos bloques de IP, es probable que su servidor esté bien, pero cuando comienza a bloquear países enteros, la lista de IP se vuelve bastante larga y es posible que su servidor no pueda mantenerse al día con la carga. Esto ralentizará el acceso de todos a su servidor, no solo detendrá a aquellos de un país de destino. De hecho, si configura un bloqueo para demasiadas IP, puede abrumar por completo su servidor y terminar deteniendo todo el tráfico.
- Los piratas informáticos tienen medios que los usuarios normales no tienen: los piratas informáticos a menudo pueden sortear fácilmente un bloqueo mediante el uso de conexiones VPN o una red de dispositivos infectados de otros países.
- Si decide bloquear un país completo, considere hacer que el bloqueo sea temporal: si recibe mucho tráfico malo de una ubicación en particular, intente bloquearlo por un tiempo y luego levante el bloqueo después de que haya pasado un poco de tiempo. Los piratas informáticos o el mal tráfico pueden haberse trasladado a objetivos más fáciles.
Si aún tiene la intención de implementar un bloqueo en todo el país a través de CSF, siga leyendo.
Implementando un Bloqueo
Este artículo asume que ya tiene un servidor compatible con CSF instalado y la interfaz web configurada en su plataforma de servidor.
| Info |
|---|
Las capturas de pantalla de este artículo muestran CSF desde WHM (cPanel), pero la interfaz de usuario debería ser similar en todas las plataformas compatibles. Si prefiere renunciar a trabajar en la interfaz web, siempre puede editar manualmente el archivo csf.conf y reiniciar CSF desde la línea de comandos. |
- Inicie sesión y acceda a CSF en la plataforma que elija.
- Puede hacer clic en la pestaña CSF en la parte superior de la página o desplazarse hacia abajo en la lista de opciones desde la interfaz principal hasta que encuentre el botón Firewall Configuration . Clic en el botón.
- El archivo de configuración de CSF es enorme, por lo que en lugar de buscar manualmente la sección que nos interesa, seleccione Listas de códigos de países y configuraciones en la lista desplegable cerca de la parte superior de la pantalla. Esto mostrará automáticamente solo la sección que necesitamos.
- Primero debe decidir qué servicios de geolocalización IP desea utilizar. Si desea utilizar el servicio GeoIP Lite de MaxMind (esto es lo que CSF solía utilizar exclusivamente), ahora debe registrarse para obtener una licencia gratuita. Puedes registrarte aquí . Una vez que tenga una clave de licencia (tenga en cuenta que solo se le mostrará esta clave de licencia una vez, cuando se registre por primera vez), ingrese la clave en el campo MM_License_Key . Deje este campo en blanco si no desea utilizar el servicio de MaxMind.
- Ahora necesita decirle a CSF qué servicio de geolocalización usar. Ingrese el número 1 para usar MaxMind (solo haga esto si ingresó la clave de licencia en el paso 4 ) o ingrese el número 2 para usar tres servicios diferentes actualmente gratuitos (no se requiere licencia). En caso de duda, establezca CC_SRC en 2 .
- A continuación, busque CC_DENY:
- Ingrese una lista separada por comas de códigos ISO de países en ese campo.
- Cuando haya terminado, desplácese hasta el final de la página y haga clic en el botónChangepara aplicar los cambios al archivo csf.conf
- Finalmente, haga clic en el botón Reiniciar csf+lfd para implementar inmediatamente los cambios que acaba de realizar.
Probar los cambios
La única forma confiable de probar su bloqueo es intentar acceder a su sitio desde una IP dentro del rango que acaba de bloquear.
- Hay muchos servicios VPN económicos en estos días y es posible que tengan VPN en uno de los países que está tratando de bloquear. Si es así, conéctese a una VPN en el país que está tratando de bloquear y luego intente visitar su sitio web. Si no puede pasar, entonces el bloque está funcionando.
- También hay una serie de servicios de prueba de sitios o proxy basados en la web que pueden intentar acceder a su sitio web desde una variedad de ubicaciones diferentes y mostrarle los resultados
- There are a lot of inexpensive VPN services these days and they may have VPNs in one of the countries you are trying to block. If so, connect to a VPN in the country you are trying to block and then try visiting your website. If you can't get through then the block is working.
- There are also a number of web-based proxy or site testing services that can try to access your website from a variety of different locations and show you the results.