Interpretation commande netsat

Sans marc de café je dirais
que la première liste et tri des adresses ip connectées sur le port 80 en excluant celle commençant par 94.158
la seconde bloque ces mêmes adresses ip avec iptables

 

Sur 200 ips qui se connecte les 20 premiers sont bloqués en excluant celle commençant par 94.158 et 83.196.203.32

 

C'est la commande netstat qui te donne la liste des connexions active au moment où elle est lancé.

 

netstat -tapun | grep :80 | awk '{ print $5}' | cut -d : -f 1 | sort | uniq -c | sort -g | tail -n 100 | grep -v 94.158

netstat = affiche les connexions
grep = filtre la chaine ":80" (port apache)
awk = affiche (print) le 5ème résultat
cut = coup la chaine avec le délimiter ":" et affiche le premier
sort = effectue un trie
uniq = n'affiche qu'une seule fois la même IP, en affichant le nombre de fois où elle est apparue.
sort = on classe cette fois ci
tail = on affiche 100 résultat (ça aurait pu se faire avec un grep --max-result=100)
grep = on cherche (mais vu que -v on exclus)

pour :
for i in `netstat -tapun | grep :80 | awk '{ print $5}' | cut -d : -f 1 | sort | uniq -c | sort -g | tail -n 100 | grep -v 94.158 | grep -v 83.196.203.32 | tail -n 20 | awk '{ print $2}'`; do iptables -I INPUT -s $i -p tcp -j DROP; done

C'est la même chose sauf que tu banni les 20 premières IPs trouvées (le filtre awk print 2 affichera uniquement l'IP sans le nombre de fois où elle est affichée).
Un peu débile comme méthode car si tu ne te fais pas attaquer, tu bannieras quand même des IPs.

 

J'avais balancé ce script :
-https://admin-serv.net/blog/19/bloquer-des-attaques-ddos/
Tu matteras ça date un peu mais ça vire pas tout le monde, uniquement ceux qui font du SYN FLOOD et qui font plus de 5 connexions.

 

Chez moi ça marche
J'ai un peu joué avec le serveur cet aprèm, ça vient ptete de là.

 

Problème de copier coller ?

 

Voilà bug de copier coller, il te manque le / final