LINUX.ORG.RU

Блокировать от чего конкретно? Правила не нужно писать для каждого адреса, в fail2ban пишутся для разных секций. Например, для ssh подключений [ssh-iptables] или voip подключений [asterisk-iptables]. Можно настроить как хочешь. Параметр ignoreip указывает IP–адреса, которые не должны быть заблокированы.

Для конкретно iptables можно создать файл, который будет загружать правила, а в него добавить список айпи, которые должны быть заблокированы.

Clockwork ★★★★★
()
Последнее исправление: Clockwork (всего исправлений: 3)

Андрей Юрьевич, перелогиньтесь.

ya-betmen ★★★★★
()

Как блокировать эти IP в IPTables

Ubuntu

  1. sudo ufw enable
  2. sudo ufw deny from <IP-адрес>

В firewalld еще проще, создал зону, добавил нужные сервисы, добавил в источники нужные ip адреса, и только они будут иметь доступ к этим сервисам.

И как справедливо заметили выше, use fail2ban.

Aspid
()
Ответ на: комментарий от Clockwork

Много попыток доступа по ssh и к апач из Латинской Америки, хочу собрать список подсетей некоторых стран в один файл. И думаю как бы при крутить этот список к файерволу или fail2ban. Практически попробовал такое реализовать, но пока еще не понятно работает или нет. Ну а параллельно решил узнать кто, как решает подобную задачу.

sasha198407
() автор топика

Как блокировать эти IP в IPTables (что б не писать правила для каждого адреса руками)

Подсетями

можно ли такое реализовать в fail2ban

fail2ban парсит логи сервисов и на основании правил определения "плохих" записей банит сам соответствующие адреса. Если вы хотите свой список адресов туда запихнуть то это не очень удачная идея, вам тогда fail2ban и не нужен.

Много попыток доступа по ssh и к апач из Латинской Америки, хочу собрать список подсетей некоторых стран в один файл.

Чтобы что? Ну забаните вы одного бота, через пять минут придет другой. Это нормально что публичный адрес будет постоянно "атаковаться". Для ssh оставьте доступ по ключу (и можно на другой порт перенести, но это так, защита от совсем тупых ботов), ПО не забывайте обновлять чтоб дыры закрывать и все будет ОК.

micronekodesu ★★★
()
Ответ на: комментарий от sasha198407

я решал это таким образом:

Все записанные правила сначала сохранил

sudo iptables -S
sudo iptables-save > /home/user/firewall.txt

Для шаблона создал такой скрипт
/etc/iptables.rules.sh

В нем содержание таблицы фаервола: (В него и нужно накидать правила, не затрагивая шаблон между строчками :OUTPUT ACCEPT [0:0] и COMMIT)

# Generated by xtables-save v1.8.2 on Sat Nov  2 19:19:06 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT 
# Completed on Sat Nov  2 19:19:06 2019 

Перед запуском нужно выставить права:

sudo chown root:root /etc/iptables.rules.sh
sudo chmod 755 /etc/iptables.rules.sh 
sudo /etc/iptables.rules.sh

Чтобы это работало при перезагрузке создать и отредактировать:
/etc/network/if-pre-up.d/iptables.sh

Следующим образом:

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.rules.sh

Также ставим права и выполняем:

sudo chown root:root /etc/network/if-pre-up.d/iptables.sh
sudo chmod 755 /etc/network/if-pre-up.d/iptables.sh
sudo /etc/network/if-pre-up.d/iptables.sh

Это строчку : /etc/network/if-pre-up.d/iptables.sh

добавил в автозагрузку. У меня systemd загружал все скрипты.

Clockwork ★★★★★
()
Последнее исправление: Clockwork (всего исправлений: 1)
Ответ на: комментарий от nanosecond

Огромное спасибо всем, кто откликнулся, очень интересно посмотреть на опыт других людей. :) Через geoip хотел попробовать, но когда начал его ставить, он захотел обновить некоторые библиотеки. А т.к. на серваке крутится рабочий проект, то не стал рисковать. Fail2ban активно использую и сначала хотел через него реализовать, дабы настройки безопасности грубо говоря были в одном месте (сумбурное объяснение, ну надеюсь смысл поняли), но теперь понимаю, что скорее всего не его это (как справедливо заметил коллега) :)

sasha198407
() автор топика
Ответ на: комментарий от sasha198407

Что может быть не понятно? Хотите запрещать? Запрещайте себе! Не мешайте людям жить, уважаемый бог, определяющий что можно и нельзя другим.

anonymous
()
Ответ на: комментарий от sasha198407

А ещё лучше, читайте документацию.

anonymous
()
Ответ на: комментарий от sasha198407

Много попыток доступа по ssh и к апач из Латинской Америки, хочу собрать список подсетей некоторых стран в один файл.

ты как раз только что изобрёл fail2ban, не нужен тебе этот список, почитай внимательно доки по fail2ban и правильно настрой его.

novitchok ★★★★★
()
Последнее исправление: novitchok (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.