LINUX.ORG.RU
ФорумAdmin

как запретить подключатся к серверу ИП из ТОР сети?

 


0

1

vps openvz
мануалы по csf ipset не работают

ipset -N block_TOR iphash
ipset v6.30: Kernel error received: Operation not permitted

esting ipt_state/xt_state...FAILED

Блокируем TOR с iptables и ipset.

1. Создаём новую таблицу в ipset:

# ipset -N block_TOR iphash

2. Получаем список IP адресов и отправляем его в ipset:

# wget -q https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1 -O - | \
sed '/^#/d' | \
while read ipAddr; do \
ipset -q -A block_TOR $ipAddr \
done

Такую выгрузку можно поместить в отдельный скрипт и запускать её по cron’у.

3. Блокируем доступ для нашего сета:

# iptables -A INPUT -m set --match-set block_TOR src -j DROP



Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-MAIL  tcp  --  anywhere             anywhere             multiport dports smtp,urd,submission,2525,pop3,pop3s,imap2,imaps

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain f2b-sshd (0 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            

Chain fail2ban-MAIL (1 references)
target     prot opt source               destination         
REJECT     all  --  ip243.tervelnet.com  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere


Последнее исправление: Regacar (всего исправлений: 7)

ты маны из из какого музея украл? :-)

iphash - это для ipset версии 4.х, а у тебя 6.30. ipset v4.5 это 2010 год!

Запусти «ipset --help» - оно покажет с какими типами оно умеет работать.

Ты уверен, что ipset поддерживается в твоем openvz?

vel ★★★★★
()
Ответ на: комментарий от vel 
while read ipAddr; do \
ipset -q -A block_TOR $ipAddr \
done

Дёргать ipset на каждый ip плохо: это долго. Лучше сформировать список и использовать ipset restore.

AS ★★★★★
()
Ответ на: комментарий от AS

Сначала ему нужно получить работоспособный ipset.

Простое гугление коворит, что там все хреново.

vel ★★★★★
()
Ответ на: комментарий от vel

да нагуглил, ну да вроде как тоже гуглил что нет функционала иза впс опенвз.
больше вариков нема?
сsf тоже не робит изза ограничений esting ipt_state/xt_state...FAILED

Regacar
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin