私の CSF には以下のようなリダイレクト ルールがあります。
17.1.1.13|80|27.5.5.22|80|tcp
17.1.1.13は私のファイアウォール(csf)で、27.5.5.22は私のウェブサーバーのアドレスです。そのため、誰もがファイアウォールを介して私のウェブサイトにアクセスします。CSF(iptables)のリダイレクトルールをブロックする
そして、CIDR ブロックをブロックしようとしましたが50.30.0.0/16、それがファイルに追加されましたcsf.deny。
今、IP アドレスを使用して Web サイトにアクセスしようとすると、アクセス44.5.6.7できます。50.30.0.1ブロックされていますが、IP アドレスを使用して Web サイトにアクセスすることができます。すべての状況でブロックしたいです50.30.0.1。
私の iptables の関連行は以下のようなものです。どうすればいいでしょうか?
Chain DENYIN (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOGDROPIN all -- !lo * 50.30.0.0/16 0.0.0.0/0
Chain DENYOUT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOGDROPOUT all -- * !lo 0.0.0.0/0 50.30.0.0/16
Chain PREROUTING (policy ACCEPT 7 packets, 336 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REDIRECT tcp -- !lo * 50.30.0.0/16 0.0.0.0/0
2 0 0 REDIRECT tcp -- !lo * 50.30.0.0/16 0.0.0.0/0
3 0 0 DNAT tcp -- !lo * 0.0.0.0/0 17.1.1.13
4 0 0 DNAT tcp -- !lo * 0.0.0.0/0 17.1.1.13
Chain POSTROUTING (policy ACCEPT 6 packets, 699 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 SNAT tcp -- * !lo 0.0.0.0/0 27.5.5.22
2 0 0 SNAT tcp -- * !lo 0.0.0.0/0 27.5.5.22
答え1
-A (for APPEND) iptables コマンドを使用すると、ルールがテーブルの最後に追加されます。
ルールは最初から最後まで評価され、決定 ( ACCEPT、、 ) につながる一致するルールがあるとREJECT、DENY後続のルールの評価が停止されます。
つまり、ここで何が起こるかというとDROP、ルールが評価されるとiptables、いずれにせよポリシーに渡されるため、ルールが重要になることはありませんDROP。
ACCEPT対応する IP アドレスがアクセスできないようにするルールの前に、ルールを追加する必要があります。あなたの場合は、最初のルールになると思います。
それは次のようなものでしょう
iptables -I INPUT -s 5.254.0.0/16 -j DROP
ルールはテーブルの先頭に追加されるため、他のルールよりも先に考慮され、一致する IP の残りのルールは無視され、パケットはドロップされます。
ルールを挿入する場所をより正確に指定する必要がある場合は、 の直後に位置番号を指定できます-I。