Как блокировать список IP

Блокировать от чего конкретно? Правила не нужно писать для каждого адреса, в fail2ban пишутся для разных секций. Например, для ssh подключений [ssh-iptables] или voip подключений [asterisk-iptables]. Можно настроить как хочешь. Параметр ignoreip указывает IP–адреса, которые не должны быть заблокированы.

Для конкретно iptables можно создать файл, который будет загружать правила, а в него добавить список айпи, которые должны быть заблокированы.

ipset

Андрей Юрьевич, перелогиньтесь.

Как блокировать эти IP в IPTables

Ubuntu

1. sudo ufw enable
2. sudo ufw deny from <IP-адрес>

В firewalld еще проще, создал зону, добавил нужные сервисы, добавил в источники нужные ip адреса, и только они будут иметь доступ к этим сервисам.

И как справедливо заметили выше, use fail2ban.

Заблокируйся, дебил.

Это к чему?

Много попыток доступа по ssh и к апач из Латинской Америки, хочу собрать список подсетей некоторых стран в один файл. И думаю как бы при крутить этот список к файерволу или fail2ban. Практически попробовал такое реализовать, но пока еще не понятно работает или нет. Ну а параллельно решил узнать кто, как решает подобную задачу.

Как блокировать эти IP в IPTables (что б не писать правила для каждого адреса руками)

Подсетями

можно ли такое реализовать в fail2ban

fail2ban парсит логи сервисов и на основании правил определения "плохих" записей банит сам соответствующие адреса. Если вы хотите свой список адресов туда запихнуть то это не очень удачная идея, вам тогда fail2ban и не нужен.

Много попыток доступа по ssh и к апач из Латинской Америки, хочу собрать список подсетей некоторых стран в один файл.

Чтобы что? Ну забаните вы одного бота, через пять минут придет другой. Это нормально что публичный адрес будет постоянно "атаковаться". Для ssh оставьте доступ по ключу (и можно на другой порт перенести, но это так, защита от совсем тупых ботов), ПО не забывайте обновлять чтоб дыры закрывать и все будет ОК.

я решал это таким образом:

Все записанные правила сначала сохранил

sudo iptables -S
sudo iptables-save > /home/user/firewall.txt

Для шаблона создал такой скрипт
/etc/iptables.rules.sh

В нем содержание таблицы фаервола: (В него и нужно накидать правила, не затрагивая шаблон между строчками :OUTPUT ACCEPT [0:0] и COMMIT)

# Generated by xtables-save v1.8.2 on Sat Nov  2 19:19:06 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT 
# Completed on Sat Nov  2 19:19:06 2019 

Перед запуском нужно выставить права:

sudo chown root:root /etc/iptables.rules.sh
sudo chmod 755 /etc/iptables.rules.sh 
sudo /etc/iptables.rules.sh

Чтобы это работало при перезагрузке создать и отредактировать:
/etc/network/if-pre-up.d/iptables.sh

Следующим образом:

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.rules.sh

Также ставим права и выполняем:

sudo chown root:root /etc/network/if-pre-up.d/iptables.sh
sudo chmod 755 /etc/network/if-pre-up.d/iptables.sh
sudo /etc/network/if-pre-up.d/iptables.sh

Это строчку : /etc/network/if-pre-up.d/iptables.sh

добавил в автозагрузку. У меня systemd загружал все скрипты.

Патчем Бармина

можно попробовать посмотреть как это для geoip делается

Огромное спасибо всем, кто откликнулся, очень интересно посмотреть на опыт других людей. :) Через geoip хотел попробовать, но когда начал его ставить, он захотел обновить некоторые библиотеки. А т.к. на серваке крутится рабочий проект, то не стал рисковать. Fail2ban активно использую и сначала хотел через него реализовать, дабы настройки безопасности грубо говоря были в одном месте (сумбурное объяснение, ну надеюсь смысл поняли), но теперь понимаю, что скорее всего не его это (как справедливо заметил коллега) :)

Вы про rm -rf / :) ?

Ага. Лучший способ блокировки всего. Делаешь rm -rf / на шлюзе и всё заблокировано.

Так себе шутка. Не знающие люди могут попасться. Форум же не только профи читают.

очень хороший урок

Что может быть не понятно? Хотите запрещать? Запрещайте себе! Не мешайте людям жить, уважаемый бог, определяющий что можно и нельзя другим.

А ещё лучше, читайте документацию.

А, тут вот в чем дело.

Много попыток доступа по ssh и к апач из Латинской Америки, хочу собрать список подсетей некоторых стран в один файл.

ты как раз только что изобрёл fail2ban, не нужен тебе этот список, почитай внимательно доки по fail2ban и правильно настрой его.