Ayuda:Bloqueo de rangos

De Inciclopedia
Ir a la navegación Ir a la búsqueda

Esta página es una adaptación de http://meta.wikimedia.org/wiki/Range_blocks para Inciclopedia

Los administradores tienen la posibilidad de bloquear rangos de IP.

Para ello deben usar la notación CIRD como número de IP en Special:Blockip. Por ejemplo, poner como IP 12.64.96.0/24 bloquea todas las direciones entre 12.64.96.0 y 12.64.96.255.

Guía sobre bloqueo de rangos para los que no tienen NPI

Cómo NO hay que hacerlo

Es importante que no intentes usar bloqueos de rangos a menos que estés totalmente seguro de lo que estás haciendo, ya que acabarías bloqueando a mucha más gente de la que tenías intención.

Imaginemos que un troll tiene el rango: 208.147.11.0 - 208.147.11.31.

Bien, pues posiblemente, si es un tocapelotas de cuidado y usa muchas IPs del rango anterior, estarás tentado a hacer un bloqueo a 208.147.0.0/16. ¡¡Bien, felicidades!! Acabas de bloquear 65.536 direcciones: no sólo has bloqueado todas las IPs desde las que el troll atacaba, sino que también otras 65.504 por si acaso.

Bueno, pues esto hay que hacerlo con un poco más de delicadeza, e investigar la topología de su red, para minimizar el número de IPs afectadas.

Un poco sobre las IPs

Una IP normalmente es escrita con cuatro grupos de tres números separados por un punto, pero esto sólo sirve para hacer que la lectura sea fácil para los humanos y otras especies. En verdad, para un ordenador una IP es un número binario de 32 dígitos:

208.147.11.2 en verdad es 11010000100100110000101100000010

La conversión entre la IP humana y la usada por el ordenador no se corresponde con una conversión matemática entre bases de números, sino que se separa el número binario en 4 grupos de 8 dígitos (4 grupos de bytes de 8 bits).

Los "/x" en el bloqueo de rangos indican que se bloqueen las IP que tienen los x digitos más a la izquierda del número binario iguales a la IP base bloqueada.

[...] (Aquí hay más explicaciones y ejemplo, pero no dicen cómo obtener el rango de una IP)

Pero ¿qué cojones hay que hacer?

Vale... fuera tecnicismos y aquí vienen los pasos para hacerlo...

  1. Se hace un WHOIS a la IP. (Con esa página u otra cualquiera que haga lo mismo).
  2. Tras poner el número de la IP, se comprueba que es una IP dinámica. Para ello, en "Reverse DNS" suele poner dynamic entremedias; o en "Blacklist Status" pone Currently Listed (history)
  3. Una vez estamos seguro de que es dinámica (o de que es estática, pero estás seguro que quieres bloquear un rango, por ejemplo, por ataques desde una universidad) buscas inetnum. Esa es la subred a la que pertenece esa IP, es decir: el rango a bloquear (en principio), y puede aparecer de dos formas:
    • Un rango como los que se describen en esta página "0.0.0.0/0" que se puede usar directamente (posiblemente le falte algún número a la IP base que tendrás que añadir)
    • Un rango de la forma "0.0.0.0 - 255.255.255.255", para ello tienes que usar esta conversora de rangos y usar la columna de la derecha.
Nota
Al hacer el WHOIS, en algunas IPs aparecen uno o varios "inetnum-up" con un rango que es la red superior al de inetnum y sólo es recomendable bloquear si después de bloquear la subred sigue dando problemas.

Referencia rápida para administradores con algo de idea

A usar la notación CIRD puede que al insertar un rango no funcione como esperas, si estás acostumbrado a usar máscara para redes.

En este sistema "/24" significa que serán bloqueadas las IP en las que los 24 primeros bits de los 32 que componen una IP sean iguales (Es decir no hace un AND lógico entre números ni similares).

Si en este punto ya te has perdido, mejor sigue en Guía sobre bloqueo de rangos para los que no tienen NPI

Conociendo entonces el significado de "/24" y un poco de binario, entonces te darás cuenta que 12.64.97.128/23 significa lo mismo que 12.64.96.0/23, pero no te preocupes por eso, ya que el propio MediaWiki redondea en binario por sí solo hacia la IP base correcta.

Tan sólo queda anotar que sólo se permiten sufijos entre 16 y 31 (un 32 sería un bloqueo normal y corriente). La IP base debe tener los 4 números. En algunos sitios verás que los rangos están anotados, por ejemplo, como 16.23.128/17, pero eso no funciona en el MediaWiki y hay que completar la IP hasta que tenga los 4 números 16.23.128.0/17 .

La siguiente tabla muestra cuántas IP se bloquean, además de cuánto avanza la numeración de cada dígito respecto a la dirección base del rango. Por ejemplo:

Con 16.23.128.0/17, el 17 indica que avanza 127 números en el tercer número y 255 en el 4 (que con "/17" siempre será 0).

Por tanto, a partir de la dirección base: 128 + 127 = 255 para el tercer número y 0 + 255 = 255 para el 4º. Sabemos que estamos bloqueando el rango 16.23.128.0 - 16.23.255.255

Nº bits Nº IPs bloqueadas Avance del
1º número
Avance del
2º número
Avance del
3º número
Avance del
4º número
16 65536 255 255
17 32768 127 255
18 16384 63 255
19 8192 31 255
20 4096 15 255
21 2048 7 255
22 1024 3 255
23 512 1 255
24 256 255
25 128 127
26 64 63
27 32 31
28 16 15
29 8 7
30 4 3
31 2 1