Tengo este rango de IPS 197.192.xx que es fuerza bruta atacando mis servidores pop/imap/smtp día tras día.
Tengo este ipset implementado que bloquea cada IP que intenta piratear mi servidor.
Me gustaría bloquear el acceso a pop/smtp/imap para todas las IP que comiencen con 197.192
Para hacer esto, he escrito este comando:
ipset -A myIpset 197.192.0.0/24
pero esto agregó 65536 IP a mi ipset, haciéndolo enorme y ahora no puedo agregarle más IP.
¿Existe otra forma de hacer esto de forma más elegante?
Respuesta1
Puede agregar otro ipset para bloquear, esta vez de tipo hash:net, y agregar 197.192.0.0/16 a ese ipset. O reemplace su ipset con uno de este tipo, hash:netya que hash:nettambién puede almacenar direcciones IP (máscara de red 32).
Para convertir de hash:ipa hash:net:
ipset save myIpset > myIpset &&
ipset destroy myIpset &&
sed s/:ip/:net/ myIpset | ipset restore &&
ipset add myIpset 197.192.0.0/16
Respuesta2
Simplemente no podrías usar un ipset para eso; iptables puede coincidir con redes con bastante facilidad:
iptables -I INPUT -s 197.192.0.0/16 -p tcp --dports smtp,imap,pop3 -j DROP
o similar.
Por cierto: ¿ha denunciado el abuso a[correo electrónico protegido]como se solicita en AfriNIC Whois? Vale la pena intentarlo...