大規模な IP 範囲リスト (CIDR) を持つ Iptables を使用した Ipset

Question 1

というコマンドラインユーティリティがありますaggregate。これは、CIDR ネットブロックのリストを受け取り、連続するブロックを対応する大きなブロックに集約します。また、冗長なネットブロックを削除します。

例えば：

$ aggregate -q << EOF
> 192.168.0.0/24
> 192.168.1.0/24
EOF
192.168.0.0/23

CIDR ブロックのみを含むテキストファイルを入力すると、それらの集約が試行され、リストのサイズが縮小されます。

man ページから:

DESCRIPTION
       Takes  a list of prefixes in conventional format on stdin, and performs
       two optimisations to attempt to reduce the length of the prefix list.

       The first optimisation is to remove any supplied prefixes which are su‐
       perfluous because they are already included in another supplied prefix.
       For example, 203.97.2.0/24 would be removed if 203.97.0.0/17  was  also
       supplied.

       The  second  optimisation identifies adjacent prefixes that can be com‐
       bined under a single, shorter-length prefix. For example, 203.97.2.0/24
       and 203.97.3.0/24 can be combined into the single prefix 203.97.2.0/23.

aggregateUbuntu を含むほとんどの主要な Linux ディストリビューションにパッケージ化されています。

(その Web サイトからリストを取得して集約しようとしましたが、何も起こらなかったため、すでに集約されている可能性があります。複数の ipset を使用することもできますが、ここではそれがおそらく最善の方法です。)

Answer

というコマンドラインユーティリティがありますaggregate。これは、CIDR ネットブロックのリストを受け取り、連続するブロックを対応する大きなブロックに集約します。また、冗長なネットブロックを削除します。

例えば：

$ aggregate -q << EOF
> 192.168.0.0/24
> 192.168.1.0/24
EOF
192.168.0.0/23

CIDR ブロックのみを含むテキストファイルを入力すると、それらの集約が試行され、リストのサイズが縮小されます。

man ページから:

DESCRIPTION
       Takes  a list of prefixes in conventional format on stdin, and performs
       two optimisations to attempt to reduce the length of the prefix list.

       The first optimisation is to remove any supplied prefixes which are su‐
       perfluous because they are already included in another supplied prefix.
       For example, 203.97.2.0/24 would be removed if 203.97.0.0/17  was  also
       supplied.

       The  second  optimisation identifies adjacent prefixes that can be com‐
       bined under a single, shorter-length prefix. For example, 203.97.2.0/24
       and 203.97.3.0/24 can be combined into the single prefix 203.97.2.0/23.

aggregateUbuntu を含むほとんどの主要な Linux ディストリビューションにパッケージ化されています。

(その Web サイトからリストを取得して集約しようとしましたが、何も起こらなかったため、すでに集約されている可能性があります。複数の ipset を使用することもできますが、ここではそれがおそらく最善の方法です。)

Question 2

通常、ipset リストの最大長は 65536 要素なので、ブロックする国ごとに個別のリストを使用する必要がある場合があります。

hash:netセットを使用すると、禁止したいCIDRレコードを直接追加できます。https://www.ipdeny.com/ipblocks/国レベルのブロック

ご質問については

ipset はシステムを大幅に遅くすることはありません。セットを保持するためにメモリをいくらか使用しますが、それ以外の負荷は目立たないはずです。
攻撃者はどの国のクラウド/VPSサーバーでも使用できるため、fail2banは維持しておくのがよいでしょう。

最後に、iptablesとipsetを使用して特定の国をブロックすることに関する同様の質問がたくさんあるので、iptablesの設定の詳細については説明しません。 https://askubuntu.com/questions/868334/block-china-with-iptablesまたは類似

Answer

通常、ipset リストの最大長は 65536 要素なので、ブロックする国ごとに個別のリストを使用する必要がある場合があります。

hash:netセットを使用すると、禁止したいCIDRレコードを直接追加できます。https://www.ipdeny.com/ipblocks/国レベルのブロック

ご質問については

ipset はシステムを大幅に遅くすることはありません。セットを保持するためにメモリをいくらか使用しますが、それ以外の負荷は目立たないはずです。
攻撃者はどの国のクラウド/VPSサーバーでも使用できるため、fail2banは維持しておくのがよいでしょう。

最後に、iptablesとipsetを使用して特定の国をブロックすることに関する同様の質問がたくさんあるので、iptablesの設定の詳細については説明しません。 https://askubuntu.com/questions/868334/block-china-with-iptablesまたは類似

Question 3

お使いいただけますか翻訳元代わりに xtables アドオンを使用しますか?

geoip と ipset xt_geoip は、(おそらく) 最も効率的な形式である (圧縮されていない) パックされた BLOB を使用します。 1 つの国をカーネルにロードするには、ディスク上のファイルと同じだけのコストがかかります。

ipset は任意の IPaddr-IPaddr 範囲をサポートしていないため、たとえば複数の Network/Prefixlength エントリを使用して近似する必要があります。さらに、ハッシュセットタイプを使用する場合、ハッシュやツリーの性質上、一部のバケットが空のままになったり、追加のメタデータが必要になったりすることが想定されます。したがって、ipset ベースの geoip のメモリフットプリントは当然大きくなります。ユーザーレポート1特定のケースでは 2 桁高くなる可能性があることを示しています (iptreemap)。

xt_geoip の検索時間は O(log2(ranges)) なので、20,000 の範囲内でアドレスを検索するには、アドレス比較 (最大 3 回) を含む反復が最大 15 回必要です。ipset はハッシュに Jenkins3 を使用しますが、これには独自の時間コストがあります。

これまでのところ、経験的なタイミングテストは実施されていません。

Answer