iptables это косяк или как?

0

1

смотрим последнюю запись в таблице.

root@ftpserver:~# iptables -t raw -A PREROUTING -s 45.142.215.0/24 -j DROP
root@ftpserver:~# iptables -t raw -L PREROUTING --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  207.171.0.0/16       anywhere            
2    DROP       all  --  180.150.0.0/16       anywhere            
3    DROP       all  --  147.185.0.0/16       anywhere            
4    DROP       all  --  185.239.70.0.16clouds.com/23  anywhere            
5    DROP       all  --  45.62.0.0/16         anywhere            
6    DROP       all  --  r0.it7.net/16        anywhere            
7    DROP       all  --  171.204.0.0/15       anywhere            
8    DROP       all  --  171.192.0.0/13       anywhere            
9    DROP       all  --  171.200.0.0/14       anywhere            
10   DROP       all  --  171.128.0.0/10       anywhere            
11   DROP       all  --  171.206.0.0/16       anywhere            
12   DROP       all  --  62.204.41.0/24       anywhere            
13   DROP       all  --  103.41.0.0/16        anywhere            
14   DROP       all  --  cg-in-f0.1e100.net/16  anywhere            
15   DROP       all  --  cj-in-f0.1e100.net/16  anywhere            
16   DROP       all  --  74.208.0.0/16        anywhere            
17   DROP       all  --  ebuuv1re2tg.expanse.co/24  anywhere            
18   DROP       all  --  64.62.0.0/16         anywhere            
19   DROP       all  --  66.132.0.0/16        anywhere            
20   DROP       all  --  64.227.0.0/16        anywhere            
21   DROP       all  --  164.92.0.0/16        anywhere            
22   DROP       all  --  92.1.0.0/16          anywhere            
23   DROP       all  --  unused-space.coop.net/22  anywhere            
24   DROP       all  --  196.245.0.0/18       anywhere            
25   DROP       all  --  160.223.160.0/20     anywhere            
26   DROP       all  --  173.239.192.0/18     anywhere            
27   DROP       all  --  ./24                 anywhere            
root@ftpserver:~#

это косяк или как? в чем прикол?

←	tar: SELinux support is not available

linux, можно ли настроить автоматический бан подсетей при ddos атаках?

→

Покажи

iptables-save

Kolins ★★★★★
(20.07.25 19:03:42 MSK)

Ответ на: комментарий от Kolins 20.07.25 19:03:42 MSK

Я почему то всегда думал что прерутинг только у нат/mangle бывает. хм.

mx__ ★★★★★
(20.07.25 19:04:49 MSK)
Последнее исправление: mx__ 20.07.25 19:07:49 MSK (всего исправлений: 1)

Он тут не при делах. -n добавь, у тебя что-то с днс.

Anoxemian ★★★★★
(20.07.25 19:13:42 MSK)

Ответ на: комментарий от mx__ 20.07.25 19:04:49 MSK

raw редко кто использует, но да там может быть prerouting (она до mangle отрабатывает, да и до conntrack тоже) или output если пакет от локального процесса пришел

Kolins ★★★★★
(20.07.25 19:14:37 MSK)
Последнее исправление: Kolins 20.07.25 19:16:23 MSK (всего исправлений: 1)

Ответ на: комментарий от Kolins 20.07.25 19:03:42 MSK

iptables-save - отображает правильно

root@ftpserver:~# iptables-save -t raw                             
# Generated by iptables-save v1.8.7 on Sun Jul 20 19:23:11 2025
*raw
:PREROUTING ACCEPT [16680:10482493]
:OUTPUT ACCEPT [19965:9470690]
-A PREROUTING -s 207.171.0.0/16 -j DROP
-A PREROUTING -s 180.150.0.0/16 -j DROP
-A PREROUTING -s 147.185.0.0/16 -j DROP
-A PREROUTING -s 185.239.70.0/23 -j DROP
-A PREROUTING -s 45.62.0.0/16 -j DROP
-A PREROUTING -s 45.78.0.0/16 -j DROP
-A PREROUTING -s 171.204.0.0/15 -j DROP
-A PREROUTING -s 171.192.0.0/13 -j DROP
-A PREROUTING -s 171.200.0.0/14 -j DROP
-A PREROUTING -s 171.128.0.0/10 -j DROP
-A PREROUTING -s 171.206.0.0/16 -j DROP
-A PREROUTING -s 62.204.41.0/24 -j DROP
-A PREROUTING -s 103.41.0.0/16 -j DROP
-A PREROUTING -s 142.250.0.0/16 -j DROP
-A PREROUTING -s 142.251.0.0/16 -j DROP
-A PREROUTING -s 74.208.0.0/16 -j DROP
-A PREROUTING -s 198.235.24.0/24 -j DROP
-A PREROUTING -s 64.62.0.0/16 -j DROP
-A PREROUTING -s 66.132.0.0/16 -j DROP
-A PREROUTING -s 64.227.0.0/16 -j DROP
-A PREROUTING -s 164.92.0.0/16 -j DROP
-A PREROUTING -s 92.1.0.0/16 -j DROP
-A PREROUTING -s 206.168.32.0/22 -j DROP
-A PREROUTING -s 196.245.0.0/18 -j DROP
-A PREROUTING -s 160.223.160.0/20 -j DROP
-A PREROUTING -s 173.239.192.0/18 -j DROP
-A PREROUTING -s 45.142.215.0/24 -j DROP
COMMIT
# Completed on Sun Jul 20 19:23:11 2025
root@ftpserver:~#

AlexZander
(20.07.25 19:21:46 MSK) автор топика
Последнее исправление: AlexZander 20.07.25 19:23:48 MSK (всего исправлений: 1)

Ответ на: комментарий от Anoxemian 20.07.25 19:13:42 MSK

с -n выводится норм.

провайдера уже 3й день ддосят и меня заодно)))

root@ftpserver:~# iptables -n -t raw -L PREROUTING --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  207.171.0.0/16       0.0.0.0/0           
2    DROP       all  --  180.150.0.0/16       0.0.0.0/0           
3    DROP       all  --  147.185.0.0/16       0.0.0.0/0           
4    DROP       all  --  185.239.70.0/23      0.0.0.0/0           
5    DROP       all  --  45.62.0.0/16         0.0.0.0/0           
6    DROP       all  --  45.78.0.0/16         0.0.0.0/0           
7    DROP       all  --  171.204.0.0/15       0.0.0.0/0           
8    DROP       all  --  171.192.0.0/13       0.0.0.0/0           
9    DROP       all  --  171.200.0.0/14       0.0.0.0/0           
10   DROP       all  --  171.128.0.0/10       0.0.0.0/0           
11   DROP       all  --  171.206.0.0/16       0.0.0.0/0           
12   DROP       all  --  62.204.41.0/24       0.0.0.0/0           
13   DROP       all  --  103.41.0.0/16        0.0.0.0/0           
14   DROP       all  --  142.250.0.0/16       0.0.0.0/0           
15   DROP       all  --  142.251.0.0/16       0.0.0.0/0           
16   DROP       all  --  74.208.0.0/16        0.0.0.0/0           
17   DROP       all  --  198.235.24.0/24      0.0.0.0/0           
18   DROP       all  --  64.62.0.0/16         0.0.0.0/0           
19   DROP       all  --  66.132.0.0/16        0.0.0.0/0           
20   DROP       all  --  64.227.0.0/16        0.0.0.0/0           
21   DROP       all  --  164.92.0.0/16        0.0.0.0/0           
22   DROP       all  --  92.1.0.0/16          0.0.0.0/0           
23   DROP       all  --  206.168.32.0/22      0.0.0.0/0           
24   DROP       all  --  196.245.0.0/18       0.0.0.0/0           
25   DROP       all  --  160.223.160.0/20     0.0.0.0/0           
26   DROP       all  --  173.239.192.0/18     0.0.0.0/0           
27   DROP       all  --  45.142.215.0/24      0.0.0.0/0           
root@ftpserver:~#

AlexZander
(20.07.25 19:28:05 MSK) автор топика
Последнее исправление: AlexZander 20.07.25 19:28:48 MSK (всего исправлений: 1)

Ответ на: комментарий от AlexZander 20.07.25 19:21:46 MSK

Ну всё нормально, как выше правильно написали проблема в dns: iptables -L -n ...

Kolins ★★★★★
(20.07.25 19:29:22 MSK)

Ответ на: комментарий от AlexZander 20.07.25 19:28:05 MSK

Скорее всего это никак не поможет относительно дудоса, но пару-тройку сотен рпс освободит: особо крупные /10-/16 подсети пхай прямо в роутинг с blackhole, остальное запихай в ipset.

Anoxemian ★★★★★
(20.07.25 19:42:04 MSK)

Всем ПРЕОГРОМНАЯ БЛАГОДАРНОСТЬ за разъяснения и комменты!!!

AlexZander
(20.07.25 19:43:35 MSK) автор топика

Ответ на: комментарий от Anoxemian 20.07.25 19:13:42 MSK

Вот интересно когда начнут фиксить эту вездесущую багофичу родом из начала времён, с непрошенным обратным днс резолвингом, постоянно из-за неё проблемы у тех кто ещё не привык везде -n дописывать.

firkax ★★★★★
(21.07.25 00:47:18 MSK)

Ответ на: комментарий от Anoxemian 20.07.25 19:42:04 MSK

особо крупные /10-/16 подсети пхай прямо в роутинг с blackhole

Ну и нафига в таблице роутинга эта ерунда? В тот же ipset в ip:net пхаем подсети. Логичнее и быстрее.

~~ALiEN175~~ ☆
(21.07.25 02:31:48 MSK)

←	tar: SELinux support is not available

Admin

linux, можно ли настроить автоматический бан подсетей при ddos атаках?

→

Похожие темы