Cómo bloquear un país completo a través de CSF
Si nota muchas visitas a su sitio web desde lugares en los que no hace negocios o si ve muchos intentos bloqueados de hackear su servidor desde ciertos países, puede que le resulte útil intentar bloquear el tráfico de esos lugares. usando el administrador de firewall de su servidor. Si usa el popular ConfigServer Firewall (CSF), puede configurar dicho bloque con bastante facilidad.
Consideraciones
Antes de comenzar, hay algunas cosas que debe considerar antes de implementar un bloque nacional en CSF.
- Bloquear un país completo no es una ciencia exacta: esta función funciona bloqueando una lista de direcciones IP que se cree que actualmente se resuelven en ubicaciones dentro de un país específico. Los rangos de direcciones IP pueden moverse y se mueven periódicamente, y la lista de IP es tan buena como el cuidado y la frecuencia con que se actualiza. Podría terminar bloqueando accidentalmente parte del tráfico de otros países o dejando pasar parte del tráfico del país de destino.
- El bloqueo de un país completo puede tener consecuencias no deseadas para su sitio web: nunca sabe cuándo puede perder una oportunidad porque alguien no puede acceder a su sitio. Ya sea que se trate de un expatriado que busca una pequeña parte de su hogar o de un sitio de medios extranjeros que busca hacer un artículo sobre usted, esas personas no podrán ver su sitio y seguirán adelante.
- El bloqueo de muchas direcciones IP puede ralentizar el acceso a su servidor. Cuando implementa un bloque como este, hay mucho trabajo que debe hacer CSF cada vez que una IP intenta acceder a su servidor. Por solo unos pocos bloques de IP, es probable que su servidor esté bien, pero cuando comienza a bloquear países enteros, la lista de IP se vuelve bastante larga y es posible que su servidor no pueda mantenerse al día con la carga. Esto ralentizará el acceso de todos a su servidor, no solo detendrá a aquellos de un país de destino. De hecho, si configura un bloqueo para demasiadas IP, puede abrumar por completo su servidor y terminar deteniendo todo el tráfico.
- Los piratas informáticos tienen medios que los usuarios normales no tienen: los piratas informáticos a menudo pueden sortear fácilmente un bloqueo mediante el uso de conexiones VPN o una red de dispositivos infectados de otros países.
- Si decide bloquear un país completo, considere hacer que el bloqueo sea temporal: si recibe mucho tráfico malo de una ubicación en particular, intente bloquearlo por un tiempo y luego levante el bloqueo después de que haya pasado un poco de tiempo. Los piratas informáticos o el mal tráfico pueden haberse trasladado a objetivos más fáciles.
Si aún tiene la intención de implementar un bloqueo en todo el país a través de CSF, siga leyendo.
Implementando un Bloqueo
Este artículo asume que ya tiene un servidor compatible con CSF instalado y la interfaz web configurada en su plataforma de servidor.
Las capturas de pantalla de este artículo muestran CSF desde WHM (cPanel), pero la interfaz de usuario debería ser similar en todas las plataformas compatibles.
Si prefiere renunciar a trabajar en la interfaz web, siempre puede editar manualmente el archivo csf.conf y reiniciar CSF desde la línea de comandos.
- Inicie sesión y acceda a CSF en la plataforma que elija.
- Puede hacer clic en la pestaña CSF en la parte superior de la página o desplazarse hacia abajo en la lista de opciones desde la interfaz principal hasta que encuentre el botón Firewall Configuration . Clic en el botón.
- El archivo de configuración de CSF es enorme, por lo que en lugar de buscar manualmente la sección que nos interesa, seleccione Listas de códigos de países y configuraciones en la lista desplegable cerca de la parte superior de la pantalla. Esto mostrará automáticamente solo la sección que necesitamos.
- Primero debe decidir qué servicios de geolocalización IP desea utilizar. Si desea utilizar el servicio GeoIP Lite de MaxMind (esto es lo que CSF solía utilizar exclusivamente), ahora debe registrarse para obtener una licencia gratuita. Puedes registrarte aquí . Una vez que tenga una clave de licencia (tenga en cuenta que solo se le mostrará esta clave de licencia una vez, cuando se registre por primera vez), ingrese la clave en el campo MM_License_Key . Deje este campo en blanco si no desea utilizar el servicio de MaxMind.
- Ahora necesita decirle a CSF qué servicio de geolocalización usar. Ingrese el número 1 para usar MaxMind (solo haga esto si ingresó la clave de licencia en el paso 4 ) o ingrese el número 2 para usar tres servicios diferentes actualmente gratuitos (no se requiere licencia). En caso de duda, establezca CC_SRC en 2 .
- A continuación, busque CC_DENY:
- Ingrese una lista separada por comas de códigos ISO de países en ese campo.
- Cuando haya terminado, desplácese hasta el final de la página y haga clic en el botón Change para aplicar los cambios al archivo csf.conf
- Finalmente, haga clic en el botón Reiniciar csf+lfd para implementar inmediatamente los cambios que acaba de realizar.
Probar los cambios
La única forma confiable de probar su bloqueo es intentar acceder a su sitio desde una IP dentro del rango que acaba de bloquear.
- Hay muchos servicios VPN económicos en estos días y es posible que tengan VPN en uno de los países que está tratando de bloquear. Si es así, conéctese a una VPN en el país que está tratando de bloquear y luego intente visitar su sitio web. Si no puede pasar, entonces el bloque está funcionando.
- También hay una serie de servicios de prueba de sitios o proxy basados en la web que pueden intentar acceder a su sitio web desde una variedad de ubicaciones diferentes y mostrarle los resultados.