Ich suche nach einer zuverlässigen Methode, um unerwünschten TCP/IP-Verkehr zu blockieren.
Auf meinem Linux-Rechner scheinen iptables und ipset eine gute Möglichkeit hierfür zu bieten.
Bisher habe ich Folgendes gemacht:
ipset create ipsok hash:net maxelem (result of wc -l for my cidr list in a file)
ipset add <network address>
Und stellen Sie sicher, dass dies das einzige verwendete IP-Set ist:
service ipset status
Dies zeigt nur ipset ipsok mit der richtigen Anzahl von Einträgen. Ich habe auch sichergestellt, dass das ipset nach einem Neustart verwendet wird. Dann füge ich das ipset zu den iptables-Regeln hinzu:
iptables -I INPUT -m set --match-set ipsok src -j ACCEPT
Um zu testen ob das funktioniert lasse ich mir von TOR eine IP Adresse zuweisen und überprüfe diese mit:
ipset test ipsok <tor ip address>
Dies sagt mir, dass die Adresse lautetNICHTim Ipsok-Set.
Wenn ich den Tor-Browser auf meinen Rechner richte, wird die Verbindung hergestellt. Ist das richtig? Ich dachte, die Verbindung würde fehlschlagen, weil die IP-Adresse nicht im IPset gefunden wird.
Was muss ich tun, damit iptables (und ipset) den Datenverkehr blockieren?NICHTKommt es von einer beliebigen Netzwerkadresse in IPSET IPSOK?
Antwort1
Die Standardrichtlinie von Iptables lautet ACCEPT. Wenn Sie Ihrer Liste also IPs hinzufügen, AKZEPTIEREN Sie diese nur zweimal.
Sie iptables -Lsollten dies auch zeigen, d. h., es gelten ausschließlich ACCEPT-Regeln.
Ändern Sie die Standardeinstellung in „DROP“ und fügen Sie Ihre Elemente dann zu „ACCEPT“ hinzu.
Versuchen Sie Folgendes, bevor Sie die Regel für das Match-Set festlegen:
iptables -P INPUT DROP
Seien Sie vorsichtig – tun Sie dies nicht aus der Ferne, da Sie sich sonst wahrscheinlich aussperren.