На Ubuntu 19 я использую этот сценарий GitHub - страны Блока с помощью iptables + ipset + ipdeny.com.
Я установил его, и для тестирования я настроил его для получения двух списков IP, и когда я выполняю его от оболочки, я не вкладываю ошибок /var/log/ipset-country.log
.
То, когда я пытаюсь перечислить диапазоны дюйм/с, заблокировало использование
iptables -L INPUT -v -n
Ясно
Chain INPUT (policy DROP 59 packets, 2873 bytes)
pkts bytes target prot opt in out source destination
407K 137M ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
407K 137M ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0
33086 1783K ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0
32577 1759K ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
32577 1759K ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOGIPS tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ipv4-falkland_islands src
0 0 LOGIPS tcp -- * * 0.0.0.0/0 0.0.0.0/0 match-set ipv4-ethiopia src
32577 1759K ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0
который, кажется, не показывает диапазоны IP для двух наборов ipv4 IP; вместо этого, я вижу 0.0.0.0/0
.
Как я могу определить, импортируются ли эти два списка IP правильно?
Как я могу перечислить диапазоны IP, которые в настоящее время блокируются?
В конечном счете, и при работе правильно, необходимо видеть ненулевой пакет, и байт значит правила блокирования страны. Пример:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
...
60848 3326067 DROP all -- enp4s0 * 0.0.0.0/0 0.0.0.0/0 match-set china src
1265 57566 DROP all -- enp4s0 * 0.0.0.0/0 0.0.0.0/0 match-set hongkong src
26865 1085462 DROP all -- enp4s0 * 0.0.0.0/0 0.0.0.0/0 match-set romania src
193511 7816920 DROP all -- enp4s0 * 0.0.0.0/0 0.0.0.0/0 match-set russia src
33149 1358726 DROP all -- enp4s0 * 0.0.0.0/0 0.0.0.0/0 match-set ukraine src
Для списка содержания любого набора делают sudo ipset list SETNAME
. Пример:
doug@DOUG-64:~$ sudo ipset list romania | head -15
Name: romania
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 65600
References: 1
Members:
193.104.73.0/24
45.131.104.0/22
89.45.66.0/24
91.240.94.0/24
176.223.66.0/24
185.248.136.0/22
46.175.152.0/22
176.116.32.0/20
если правила, которые показывают, - то, что Вы хотите, то Ваш брандмауэр возрос.
Откройтесь терминал командной строки (выберите Приложения> Аксессуары> Терминал), или войдите в удаленный сервер с помощью ssh и затем введите следующий блок команды IP-адрес следующим образом:
# /sbin/iptables -A INPUT -s 65.55.44.100 -j DROP
Для просмотра заблокированного IP-адреса войдите:
# iptables -L INPUT -v -n
ИЛИ
# iptables -L INPUT -v -n | less
Задача: Проверьте Использование Linux Запрещенного IP команда grep следующим образом, чтобы проверить, что IP-адрес 1.2.3.4 заблокирован или нет:
# iptables -L INPUT -v -n | grep "1.2.3.4"
Как я Удаляю или Разблокирую IP-адрес 1.2.3.4? Используйте следующий синтаксис, чтобы удалить или разблокировать IP-адрес в соответствии с Linux, войти:
# iptables -D INPUT -s 1.2.3.4 -j DROP
Наконец, удостоверьтесь, что Вы сохраняете брандмауэр:
# service iptables save