IPTABLES rozsah IP (vyřešeno)

Ahoj, řeším blokovaní rozsahu příchozích IP adres. Máte s tím někdo zkušenosti? Jaký přístup z níže dvou popsaných je podle vás lepší a proč? Jaký používáte vy? Díky za názory!

-A INPUT -m iprange --src-range 64.39.0.1-64.39.255.254 -j DROP

nebo

-A INPUT -s 64.39.0.0/16 -j DROP

-A INPUT -s 64.39.0.0/16 -j DROP

Jednoduší na zápis jednoduší pro přehlednost, netřeba tahat další rozšíření.

9.10.2015 22:28 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: IPTABLES rozsah IP

Jinak já používám:

# načtení ze souboru blok_ip

bIFS=$IFS IFS=$'\n'
ip=($(cat blok_ip))
IFS=$bIFS

for a in ${ip[*]}
do $IPTABLES -A INPUT -i $INET_IFACE  -s $a -j DROP
done

# načtení povolených IPv4 ze souboru enable_ip

bIFS=$IFS IFS=$'\n'
ip=($(cat enable_ip))
IFS=$bIFS

for a in ${ip[*]}
do $IPTABLES -A INPUT -i $INET_IFACE  -s $a -p TCP -m state --state NEW -j ACCEPT
done

9.10.2015 22:34 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IPTABLES rozsah IP

ipset?

9.10.2015 22:39 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: IPTABLES rozsah IP

Používám iptables a skript který spustím při úpravě firewallu a pak to zapíši do konfigurace (iptables save) která se pomocí iptables zase nahrává automaticky po startu.

9.10.2015 22:48 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IPTABLES rozsah IP

To se nevylučuje, šlo mi o to, že je-li těch adres hodně (a už jsem podobné konstrukce viděl v praxi používat i s počty přesahujícími stovku), bude použití ipset výrazně efektivnější než lineární posloupnost pravidel, která se v nejhorším případě musí otestovat celá.

9.10.2015 23:04 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: IPTABLES rozsah IP

Jasně mě to stačí protože v pravidlech mám pár desítek adres, ty co jsou moc neodbytné a napadají mě služby na serveru.

Na zbytek mám fail2ban aby těch pravidel nebylo tolik.

Dotaz: IPTABLES rozsah IP

Odpovědi