Blokada Dostępu Do Serwera Określonej Grupie Ip

[David73 0]

W jaki prosty i skuteczny sposób można całkowicie (na wszystkich portach) zablokować dostęp do serwera określonym adresom IP bądź puli IP ?

[c2h5oh 0]

drop w iptables na ip/zakres?

[beliq 442]

iptables -I INPUT -s 128.129.130.0/12 -j DROP - zakres

iptables -I INPUT -s 128.129.130.131 -j DROP - pojedyńczy adres IP

[David73 0]

a powiedzmy jak bym chciał ograniczyć jeszcze większy zakres np:

 

212.212.XXX.XXX X - do ograniczenia

[shive 0]

To naucz się korzystać z googla.

 

AAA.BBB.CCC.xxx/24

AAA.BBB.xxx.xxx/16

AAA.xxx.xxx.xxx/8

[David73 0]

dzięki

[bsm1960 0]

mam pytanie, a jak zablokować jeden numer ip np. na 10 godzin przez ip tables?

[beliq 442]

mam pytanie, a jak zablokować jeden numer ip np. na 10 godzin przez ip tables?

Samo IPtables nie posiada funkcji expire dla blokowanych adresów.

[bsm1960 0]

a jeszcze pytanko, załóżmy że zablokowałem całą sieć np:

 

iptables -I INPUT -s 128.129.130.0/12 -j DROP

 

i teraz chcem ją przywrócić, to jak zrobić?

 

czy wystarczy wpisać?

 

iptables -I INPUT -s 128.129.130.0/12 -j ACCEPT ??

[irvinek 4]

Tak.

[bsm1960 0]

dzięki

[shive 0]

Nie możesz po prostu zmienić DROP na ACCEPT. To będzie potencjalne naruszenie bezpieczeństwa.

[Gość patrick]

iptables -D INPUT -s 128.129.130.0/12 -j ACCEPT

[shive 0]

Generalnie jest tak:

 

- jeśli miałeś w łańcuchu regułę DROP, to po prostu ją usuń z łańcucha, a nie zmieniaj targetu na ACCEPT, bo jeśli taka reguła nie jest poprzedzona innymi filtrującymi, to pakiet z danego adresu będzie bezkryczynie zaakceptowany, a tego nie chcesz

 

do poczytania: http://iptables-tutorial.frozentux.net/chunkyhtml/index.html

[Gość patrick]

Zawsze lepiej czyścić po sobie śmieci niż dorzucać kolejne.

bsm1960: zainteresuj się projektem APF

[bsm1960 0]

kurcze, w takim razie teraz troche namieszałem ;/

 

dałem

 

iptables -I INPUT -s 128.129.130.0/12 -j DROP

 

a potem

 

iptables -I INPUT -s 128.129.130.0/12 -j ACCEPT

 

 

co mam teraz zrobić aby było dobrze? troche sporo tego jeżeli chodzi o iptables

 

chce powrócić do stanu z przed DROP

[shive 0]

Usuń obie reguły i już. Wtedy pakiety z tej klasy będą podlegały pod zestaw pozostałych reguł.

 

Tak łopatologicznie:

 

- jeśli dasz ACCEPT to pakiet zostanie zaakceptowany i NIE BĘDZIE dalej przechodził przez łańcuch, więc jakby przepuszczasz go bezkrytycznie

- jeśli dasz DROP, to pakiet zostanie odrzucony i także nie będzie dalej lazł przez łańcuch

[Gość patrick]

iptables -D INPUT -s 128.129.130.0/12 -j ACCEPT

iptables -D INPUT -s 128.129.130.0/12 -j DROP

i zainstaluj apf.

[bsm1960 0]

dzięki chłopaki, widzę że nie ominie mnie lektura iptables

[bsm1960 0]

jeszcze ostatnie pytanie, jak mogę wylistować i podejrzeć jakie regułki są obecnie ustawione?

[shive 0]

A nie przyszło ci do głowy po prostu przejrzeć parametry jakie przyjmuje polecenie iptables? To chyba łatwiejsze niż pytanie o każdą rzecz? Listujesz odpalając z opcją -L, możesz dodać -n jeśli nie chcesz tłumaczyć IP->nazwa przy listowaniu.

[p 3]

jeszcze ostatnie pytanie, jak mogę wylistować i podejrzeć jakie regułki są obecnie ustawione?

man iptables