Zablokowa

[dedito]

Przeczytaj co pisał marcin1982.

[pawkrol]

Jeśli masz dużo klas adresowych do blokowania/pozwolenia to najlepiej w tej roli sprawdzi się ipset.

Tworzysz skrypt, a w nim:

Kod: Zaznacz cały

#!/bin/bash
ipset create polskie_ip hash:net
for i in $( cat /etc/ip_polskie.txt ) ; do ipset add polskie_ip $i ; done 

Reguły firewalla robisz w ten sposób - zezwalamy na dostęp tylko na port 443:

Kod: Zaznacz cały

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT

ip_polskie.txt - w załączniku.

[TheMorgenPL]

iptables v1.4.14: Kernel module xt_set is not loaded in.

root@vps117675:/home# iptables -P FORWARD DROP

root@vps117675:/home# iptables -P INPUT DROP
root@vps117675:/home# iptables -P OUTPUT ACCEPT
root@vps117675:/home# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.

root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.

root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.

root@vps117675:/home# polskie_ip
-bash: polskie_ip: nie znaleziono polecenia
root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.

root@vps117675:/home# iptables v1.4.14: Kernel module xt_set is not loaded in.
Bad argument `v1.4.14:'
Try `iptables -h' or 'iptables --help' for more information.
root@vps117675:/home#

[pawkrol]

Kod: Zaznacz cały

aptitude install ipset
modprobe xt_set

Zerknij : link

[TheMorgenPL]

Zainstalowalem na innym VPS i tu nie dziala ;(

root@vps4272:/# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j
ACCEPT
iptables v1.4.14: Set polskie_ip doesn't exist.

Try `iptables -h' or 'iptables --help' for more information.
root@vps4272:/#

[pawkrol]

Zrób

Kod: Zaznacz cały

aptitude install ipset 
modprobe xt_set 

Potem pokaż wynik polecenia

Kod: Zaznacz cały

lsmod | grep ip_set

Z VPS'ami jest tak że nie zawsze masz możliwość dodania modułu do jądra. I w tym przypadku może być to problemem. Wtedy pozostaje Ci jedynie kontakt z administratorem VPS i prośba, aby on dodał ten moduł.

Jeśli i to nie poskutkuje, to pozostaje Ci dodanie po kolei ip do iptables.

[TheMorgenPL]

"Po kontakcie z serwisem zostało zweryfikowane to, że po prostu biblioteka tego modułu na Pana VPS jest nieaktualna.

Aktualizacja: http://wiki.gandi.net/en/iaas/reference ... el_modules
Prosimy zawsze jednak wykonywać backup przed takimi operacjami."