У меня есть скрипт, который запрещает выбранные IP-адреса с моего сервера.
Пример:
iptables -A INPUT -s 123.123.123.123 -j DROP
Мой вопрос: когда это правило начнет работать?
Я спрашиваю об этом, потому что вчера я запретил IP, но он все еще был подключен к моему серверу ... что-то не так с моей командой или чем-то еще?
Операции с командами iptables и ip6tables (для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A, это правило будет добавлено после предыдущих правил и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, разрешающее трафик TCP 80, имеет приоритет. Рекомендуется ввести новую цепочку (blocklist ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist
sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков списка вместо цепочки INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с командами iptables и ip6tables (для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A, это правило будет добавлено после предыдущих правил и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, разрешающее трафик TCP 80, имеет приоритет. Рекомендуется ввести новую цепочку (blocklist ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist
sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков списка вместо цепочки INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с командами iptables и ip6tables (для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A, это правило будет добавлено после предыдущих правил и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, разрешающее трафик TCP 80, имеет приоритет. Рекомендуется ввести новую цепочку (blocklist ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist
sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков списка вместо цепочки INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с командами iptables и ip6tables (для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A, это правило будет добавлено после предыдущих правил и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, разрешающее трафик TCP 80, имеет приоритет. Рекомендуется ввести новую цепочку (blocklist ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist
sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков списка вместо цепочки INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с командами iptables и ip6tables (для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A, это правило будет добавлено после предыдущих правил и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, разрешающее трафик TCP 80, имеет приоритет. Рекомендуется ввести новую цепочку (blocklist ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist
sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков списка вместо цепочки INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с iptables
и команды ip6tables
(для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A
, это правило будет добавлено после предыдущих правил, и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, обеспечивающее приоритет трафика TCP 80. Рекомендуется ввести новую цепочку ( blocklist
ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков, а не цепочку INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с iptables
и команды ip6tables
(для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A
, это правило будет добавлено после предыдущих правил, и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, обеспечивающее приоритет трафика TCP 80. Рекомендуется ввести новую цепочку ( blocklist
ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков, а не цепочку INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с iptables
и команды ip6tables
(для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A
, это правило будет добавлено после предыдущих правил, и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, обеспечивающее приоритет трафика TCP 80. Рекомендуется ввести новую цепочку ( blocklist
ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков, а не цепочку INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP
Операции с iptables
и команды ip6tables
(для IPv6) применяются немедленно. У вас может быть правило в вашей цепочке INPUT, которая принимает трафик, прежде чем он достигнет этого, например:
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
Если вы примените свое правило с -A
, это правило будет добавлено после предыдущих правил, и даже если вы скажете, что трафик с 123.123.123.123 должен быть заблокирован, правило, обеспечивающее приоритет трафика TCP 80. Рекомендуется ввести новую цепочку ( blocklist
ниже) в вашем наборе правил, как в:
sudo iptables -N blocklist sudo iptables -I INPUT -j blocklist
И затем применить правила к цепочке блоков, а не цепочку INPUT:
sudo iptables -A blocklist -s 123.123.123.123 -j DROP