Бан диапазона подсетей с помощью IPTABLES

1

1

Здравствуйте.

Стоит задача ограничить целому диапазону подсетей, любой вид входящего трафика на любой из портов машины. Пробую так: iptables -A INPUT -m iprange --src-range 31.23.128.0-31.23.255.255 -j DROP

Но почему-то не помогло, сегодня в логах обнаружил IP злоумышленника из этой подсети снова. Прошу помощи...

Ссылка

←	debian интеграция non-free драйвера в инсталлятор

Скрипт для бэкапа.

→

зачем iprange?

-A INPUT -s 31.23.128.0/17 -j DROP

beastie ★★★★★
(02.06.12 03:31:47 MSK)

Ответ на: комментарий от beastie 02.06.12 03:31:47 MSK

хотя правильней будет

-I INPUT -s 31.23.128.0/17 -j DROP

ибо наверьняка у тебя в начале куча разрешающих правил, через которые и пролез «злоумышленник»

tl;dr

сначала DROP-ы, а уж за ними ACCEPT

beastie ★★★★★
(02.06.12 03:35:36 MSK)

Ответ на: комментарий от beastie 02.06.12 03:31:47 MSK

«iprange» затем, что я не понимаю, чисто логически, как считается вот эта беда - «/17» :) Вот такой я хреновый админ Linux :) Мне проще как в армии «Отсюда и до забора».

xiloid
(02.06.12 03:54:49 MSK) автор топика

Ответ на: комментарий от beastie 02.06.12 03:35:36 MSK

У меня в iptables вообще ничего нет, после прописывания «iptables -A INPUT -m iprange --src-range 31.23.128.0-31.23.255.255 -j DROP» появилась одна единственная строчка: 1 0 0 DROP all — * * 0.0.0.0/0 0.0.0.0/0 source IP range 31.23.128.0-31.23.255.255

Так что каким образом пролез Хацкер - не понятно...

xiloid
(02.06.12 03:56:11 MSK) автор топика

Ответ на: комментарий от xiloid 02.06.12 03:54:49 MSK

man ipcalc

shell-script ★★★★★
(02.06.12 04:02:06 MSK)

Ссылка

Ответ на: комментарий от xiloid 02.06.12 03:54:49 MSK

да, ipcalc тебе в помощь

а считать его просто: сеть 31.23.128.0-31.23.255.255 имеет маску 255.255.128.0, она же 0xffff8000 — а в этмм числе 17 единичек

beastie ★★★★★
(02.06.12 04:13:24 MSK)

Ссылка

Ответ на: комментарий от xiloid 02.06.12 03:56:11 MSK

ну, это гадание на кофейной гуще, для какой либо конкретики показывай iptables-save и ту заветную строчку из лога.

beastie ★★★★★
(02.06.12 04:16:02 MSK)

Ссылка

Ответ на: комментарий от xiloid 02.06.12 03:54:49 MSK

«iprange» затем, что я не понимаю, чисто логически, как считается вот эта беда - «/17»

http://ru.wikipedia.org/wiki/Маска_подсети

Pinkbyte ★★★★★
(02.06.12 13:05:19 MSK)

Ссылка

Ответ на: комментарий от xiloid 02.06.12 03:54:49 MSK

> «iprange» затем, что я не понимаю, чисто логически, как считается вот эта беда - «/17»

Админ-дизайнер? Админ-бухгалтер? Админ-лесоруб?
Этому же нибось даже в школе на уроках информатики уже учат, и без таких основ к iptables как-то сыкотно подходить.

zolden ★★★★★
(02.06.12 13:15:12 MSK)

Ответ на: комментарий от zolden 02.06.12 13:15:12 MSK

:)

Да не админ я по большому счету вовсе, да и школу 11 лет назад как закончил, когда мы не изучали сети вообще. Глобально задача стояла сделать сервер CS:S под Linux, с которой я справился, а вот отражать атаки «кул-хацкеров» оказалось куда как сложнее :)

xiloid
(04.06.12 10:58:43 MSK) автор топика

Ссылка

man ipset

post-factum ★★★★★
(04.06.12 11:01:59 MSK)

Ответ на: комментарий от post-factum 04.06.12 11:01:59 MSK

В этой связи хотел ещё спросить, как скрипты подобные iptables и ipset нагружают систему? Ведь если необходимо сопоставить каждый входящий пакет с таблицей правил, на это наверное уходит довольно много процессорного времени, так?

xiloid
(04.06.12 11:56:03 MSK) автор топика

Ответ на: комментарий от xiloid 04.06.12 11:56:03 MSK

Значительную нагрузку на проц я видел только однажды — когда использовал ооочень старый тазик для раздачи инета.

Думаю, на современном железе хотя бы и домашнего уровня проблем не будет, если это не highload.

К тому же, в netfilter'е правила компилятся jit'ом прямо в машинные инструкции (это если я правильно понял выписку из changelog'а ядра несколько релизов назад).

post-factum ★★★★★
(04.06.12 12:12:54 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	debian интеграция non-free драйвера в инсталлятор

Admin

Скрипт для бэкапа.

→

:)

Похожие темы