Ich habe einige Spammer aus Russland. Ich habe den folgenden IP-Bereich in meine IP-Tabellen eingetragen, aber sie können trotzdem auf Port 80, 443 meines Webservers zugreifen.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -s 4.53.0.0/16 -j DROP
-A INPUT -s 173.205.0.0/16 -j DROP
-A INPUT -s 37.9.0.0/16 -j DROP
-A INPUT -j DROP
COMMIT
Was übersehe ich? Ich wollte diese Bereiche 37,9 blockieren., 173.205., 4,53.*
Antwort1
-Ifügt eine Regel am Anfang und am Ende ein. Da Sie alle Regeln anhängen, steht -Ader Akzeptanzport weiter oben in der Liste, als der Bereich abfällt.443
Wenn ein Paket empfangen wird, wird nur die erste passende Regel angewendet.