ロシアからのスパマーがいます。次の IP 範囲を IPtables に入力しましたが、それでも Web サーバーのポート 80、443 にアクセスできてしまいます。
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -s 4.53.0.0/16 -j DROP
-A INPUT -s 173.205.0.0/16 -j DROP
-A INPUT -s 37.9.0.0/16 -j DROP
-A INPUT -j DROP
COMMIT
何が足りないのでしょうか? 37.9 の範囲をブロックしたかったのです。、173.205。、4.53。*
答え1
-Iルールを先頭と-A末尾に挿入します。すべてのルールを追加するため、受け入れポートは443範囲のドロップよりもリスト内で上位になります。
パケットを受信すると、最初に一致するルールのみが適用されます。