另一个 iptables/ipset 问题,其中连接未被阻止

tag-icon tag-icon iptables ipset
另一个 iptables/ipset 问题,其中连接未被阻止

该问题底部的列表是我 Debian 系统上“iptables-save”的输出。

我设置了一个名为“manual-block”的 ipset 列表,其中包含我想阻止的连接地址。但是,似乎“manual-block” ipset 列表中的地址的部分(可能是全部?)连接被接受了。

例如,ipset list manual-block | egrep '^77\.90\.185\.59$'输出为“77.90.185.59”,但我一直收到来自 77.90.185.59 的许多连接。“手动阻止”ipset 列表中的其他 IP 地址也会出现这种情况。

我已经重新启动并重新初始化所有 iptables/ipset 规则和列表,但来自“手动阻止”ipset 列表中的那些 IP 地址的连接仍然可以通过。

当我创建这些规则时,我iptables -I INPUT ...在所有情况下都这样做,尽管它们在此处列为-A INPUT ...。这是正确的吗?如果不是,这可能是这些规则不起作用的原因吗?

无论如何,我都不知道该怎么做才能让这些规则开始发挥作用。

提前感谢您的任何建议和想法。

附言:这些是我用来生成手动阻止规则条目的命令......

/sbin/iptables -I INPUT -i eth+ -m set --match-set manual-block src -j REJECT --reject-with icmp-net-unreachable

/sbin/iptables -I INPUT -i eth+ -m set --match-set manual-block src -j DROP

这是 iptables-save 输出...

# Generated by iptables-save v1.4.21 on Wed Oct 11 17:56:59 2023
*filter
:INPUT ACCEPT [88:12650]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [83:12488]
-A INPUT -i eth+ -m set --match-set manual-block src -j DROP
-A INPUT -i eth+ -m set --match-set manual-block src -j REJECT --reject-with icmp-net-unreachable
-A INPUT -i eth+ -m set --match-set cc-block src -j DROP
-A INPUT -i eth+ -p tcp -m multiport --dports 110,143,993,995 -m set --match-set imap-allow src -j ACCEPT
-A INPUT -i eth+ -p tcp -m multiport --dports 110,143,993,995 -j DROP
COMMIT
# Completed on Wed Oct 11 17:56:59 2023
# Generated by iptables-save v1.4.21 on Wed Oct 11 17:56:59 2023
*mangle
:PREROUTING ACCEPT [78240:9303925]
:INPUT ACCEPT [78217:9302721]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66186:11564488]
:POSTROUTING ACCEPT [66186:11564488]
COMMIT
# Completed on Wed Oct 11 17:56:59 2023
# Generated by iptables-save v1.4.21 on Wed Oct 11 17:56:59 2023
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Oct 11 17:56:59 2023
# Generated by iptables-save v1.4.21 on Wed Oct 11 17:56:59 2023
*raw
:PREROUTING ACCEPT [78240:9303925]
:OUTPUT ACCEPT [66186:11564488]
COMMIT
# Completed on Wed Oct 11 17:56:59 2023
# Generated by iptables-save v1.4.21 on Wed Oct 11 17:56:59 2023
*security
:INPUT ACCEPT [65863:8462327]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66187:11564616]
COMMIT
# Completed on Wed Oct 11 17:56:59 2023

相关内容