Strona 3 z 3
: 30 listopada 2014, 14:47
autor: dedito
Przeczytaj co pisał marcin1982.
: 01 grudnia 2014, 07:47
autor: pawkrol
Jeśli masz dużo klas adresowych do blokowania/pozwolenia to najlepiej w tej roli sprawdzi się ipset.
Tworzysz skrypt, a w nim:
Kod: Zaznacz cały
#!/bin/bash
ipset create polskie_ip hash:net
for i in $( cat /etc/ip_polskie.txt ) ; do ipset add polskie_ip $i ; done
Reguły firewalla robisz w ten sposób - zezwalamy na dostęp tylko na port 443:
Kod: Zaznacz cały
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
ip_polskie.txt - w załączniku.
: 01 grudnia 2014, 16:31
autor: TheMorgenPL
iptables v1.4.14: Kernel module xt_set is not loaded in.
root@vps117675:/home# iptables -P FORWARD DROP
root@vps117675:/home# iptables -P INPUT DROP
root@vps117675:/home# iptables -P OUTPUT ACCEPT
root@vps117675:/home# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.
root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.
root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.
root@vps117675:/home# polskie_ip
-bash: polskie_ip: nie znaleziono polecenia
root@vps117675:/home# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j ACCEPT
iptables v1.4.14: Kernel module xt_set is not loaded in.
root@vps117675:/home# iptables v1.4.14: Kernel module xt_set is not loaded in.
Bad argument `v1.4.14:'
Try `iptables -h' or 'iptables --help' for more information.
root@vps117675:/home#
: 01 grudnia 2014, 21:53
autor: pawkrol
: 21 grudnia 2014, 12:34
autor: TheMorgenPL
Zainstalowalem na innym VPS i tu nie dziala ;(
root@vps4272:/# iptables -A INPUT -p tcp -m tcp -m set --match-set polskie_ip src -m state --state NEW --dport 443 -j
ACCEPT
iptables v1.4.14: Set polskie_ip doesn't exist.
Try `iptables -h' or 'iptables --help' for more information.
root@vps4272:/#
: 24 grudnia 2014, 22:47
autor: pawkrol
Zrób
Potem pokaż wynik polecenia
Z VPS'ami jest tak że nie zawsze masz możliwość dodania modułu do jądra. I w tym przypadku może być to problemem. Wtedy pozostaje Ci jedynie kontakt z administratorem VPS i prośba, aby on dodał ten moduł.
Jeśli i to nie poskutkuje, to pozostaje Ci dodanie po kolei ip do iptables.
: 10 stycznia 2015, 12:51
autor: TheMorgenPL
"Po kontakcie z serwisem zostało zweryfikowane to, że po prostu biblioteka tego modułu na Pana VPS jest nieaktualna.
Aktualizacja: http://wiki.gandi.net/en/iaas/reference ... el_modules
Prosimy zawsze jednak wykonywać backup przed takimi operacjami."