我遇到了一个iptables似乎无法解决的配置问题。 我有一个已知的不良 IP 地址列表,我阻止通过ipset和访问我的服务器iptables。最初的方法是,iptables如果 IP 与ipset列表匹配,则简单地断开通过 的连接。这种方法效果很好。 现在我决定显示一条简短的服务器消息,而不是默默地断开连接。我想通知访问者访问已被阻止,并提供解决此问题的说明(如果他/她认为阻止是没有道理的)。 我修改后的方法如下,但如果你有更好的解决方案请评论: 因为据我所知,iptables不能简单地返回请求的自定义响应(如果错误,请更正,我知道reject可以返回一些...
运行 Debian 12 我按照以下方式创建了一个 IPSet: ~$ firewall-cmd --permanent --new-ipset=myipset --type=hash:ip --option=timeout=0 success ~$ firewall-cmd --reload success ~$ firewall-cmd --permanent --zone=drop --add-source=ipset:myipset success ~$ firewall-cmd --zone=drop --list-sources ipset:my...
该问题底部的列表是我 Debian 系统上“iptables-save”的输出。 我设置了一个名为“manual-block”的 ipset 列表,其中包含我想阻止的连接地址。但是,似乎“manual-block” ipset 列表中的地址的部分(可能是全部?)连接被接受了。 例如,ipset list manual-block | egrep '^77\.90\.185\.59$'输出为“77.90.185.59”,但我一直收到来自 77.90.185.59 的许多连接。“手动阻止”ipset 列表中的其他 IP 地址也会出现这种情况。 我已经重新启动并重...
我的理解是使用 ipset 运行 Fail2ban 速度更快。为此: 我根据说明(针对 Fedora 37 修改)从 Git 下载并安装了 ritsu/ipset-fail2ban。 我的禁令仍然设置为: banaction_allports = firewallcmd-rich-rules[actiontype=] 当我尝试添加或替换上述内容时: banaction = firewallcmd-ipset 我收到如下错误: 2023-04-09 15:51:46,130 fail2ban.actions [986]: NOTICE [pos...
有一个脚本来填充 ipset,然后我这样做: /sbin/iptables -I INPUT -m 设置 --match-set ipsum src -j DROP 现在不确定这对其他端口如何起作用,但我知道如果我想让“ipsum”中包含的地址不访问 80 和 443,我必须添加最后 2 个命令。 /sbin/iptables -A FORWARD -p tcp --dport 443 -m set --match-set ipsum dst -j DROP /sbin/iptables -A FORWARD -p tcp --dport 80 -m set...
我有一个包含两个区域的防火墙设置。 一个区域some-ips-allowed用于允许某些端口上来自特定 IP 网络的流量: some-ips-allowed (active) target: default icmp-block-inversion: no interfaces: sources: ipset:some-ip-set services: ports: 22/tcp 80/tcp 443/tcp ... 包含some-ip-set一些网络,比如说10.0.0.0/8。 另一个区域已分配一些接口(由于 而列入白名单t...
我有这个 ipset v7.15 的 bash 脚本(在 ubuntu 22.04 中运行),由马丁(我针对这个问题做了一些修改): ipset create -! blacklist hash:net family inet hashsize 1024 ipset save -! > /tmp/ipset.txt cat list.txt | sort -t . -k 1,1n -k 2,2n -k 3,3n -k 4,4n -k 5,5n -k 6,6n -k 7,7n -k 8,8n -k 9,9n | while read line; do ...
我有这个循环来使用 ipset/iptables 阻止 IP 和 CIDR: # this is just an example. the actual list IPs/CIDR is very large cat blockip.txt 13.31.0.254 cat blockcidr.txt 13.32.0.0/15 环形: #!/bin/bash ipset -F ipset -N -! blacklist hash:net maxelem 1000000 for ip in $(cat blockip.txt blockcidr.txt); ...
我在哪里可以找到所有的 ipset 选项(ipset v7.15)? man ipset 在线还不是全部。我在命令行上也没有找到它们,通过运行: man ipset ipset --help 例如这个选项: ipset -A ipset -F ipset -N # maybe more options 在进行的测试中,这些命令的输出是相同的: ipset -A = ipset add ipset -F = ipset flush ipset -N = ipset create 但我希望获得一份官方文件来澄清这一点 ...
我得到了一个很大的 IP 集,我想捕获与这些 IP 相关/不相关的网络包。 有没有办法使用 tcpdump 以 ipset 作为参数来捕获数据包? ...
我在 bash 中有以下规则(按顺序): # blocklist.txt contains: #192.168.1.39 for ip in $(cat blocklist.txt); do iptables -I INPUT -s $ip -p tcp -m multiport --dports 137:139,445 -j ACCEPT iptables -I FORWARD -d $ip -p tcp -m multiport --dports 137:139,445 -j ACCEPT done ipset flush banip...
由于 OpenWRT ver > 22.3 确实使用 NFTABLES 而不是 IPTABLES,因此我遇到了一些基于防火墙(fw4)时间的流量规则的问题,我不知道如何解决它们。 防火墙规则如下 config rule option name 'Block-Traffic' option src 'lan' option dest 'wan' option target 'DROP' option utc_time '1' list proto 'all' option start_date '2022-10-...
我们希望利用 IPSet 来管理来自源(CSF+LFD、fail2ban 等相关位置)的临时 IP 阻止。目的是让在边缘使用 Shorewall 的路由器利用这些来临时阻止来自恶意远程设备的流量。没有什么不寻常的。 我们的路由器运行的是 Shorewall 5.2.3.4 和 IPSet 7.10(协议版本 7)。 Shorewall 通过 Shorewall 的“blrules”引用 IPSet 列表“blocklist”和“blocklist6”,分别用于 IPv4 和 IPv6 列表: #ACTION SOURCE DEST P...
我目前正在处理一个 VPN,其连接端点位于子网内,该子网的前缀应通过该特定 VPN 进行隧道传输。 因此,从本质上讲,该问题可以归结为与一组(较大的)目标地址(/16 掩码)进行匹配,但不包括完全包含的特定目标(小子集)子集,这些目标不应通过该方式进行路由(而是通过默认路由进行路由)。 如果问题是关于过滤的,在 Linux 中可以使用ipset类似这样的设置来实现 ipset create MyVPN hash:net ipset add MyVPN $MYVPNNET/$MYVPNMASK ipset add MyVPN $MYVPNENDPOINT no...
我们在网络边界上使用iptables列表ipset。通常这种方法效果很好。我更新了规则以捕获更多活动,发现更新集合的规则似乎并不总是能成功更新集合。规则位于表PREROUTING的链中mangle。 这是规则(来自iptables -L -nv -t mangle): SET all -- * * 0.0.0.0/0 0.0.0.0/0 match-set BlackHoleTargets dst ! match-set PrivateNets src add-set blackholescanners src 其中 BlackHoleTargets 是一...