Estoy buscando un método sólido para bloquear el tráfico TCP/IP no deseado.
En mi máquina Linux, iptables e ipset parecen ofrecer una buena manera de hacerlo.
Hasta ahora he hecho esto:
ipset create ipsok hash:net maxelem (result of wc -l for my cidr list in a file)
ipset add <network address>
Y me aseguré de que este sea el único ipset que usa:
service ipset status
Esto muestra solo ipset ipsok con el número correcto de entradas. También me aseguré de que se use el ipset después de reiniciar. Luego agrego el ipset a las reglas de iptables:
iptables -I INPUT -m set --match-set ipsok src -j ACCEPT
Para probar si esto funciona, dejo que TOR me proporcione una dirección IP y verifico esto con:
ipset test ipsok <tor ip address>
Esto me dice que la dirección esNOEn el conjunto ipsok.
Cuando dirijo el navegador Tor a mi máquina, se establece la conexión. ¿Es esto correcto? Pensé que la conexión fallaría porque la dirección IP no se encuentra en el ipset.
¿Qué debo hacer para que iptables (e ipset) bloqueen el tráfico?NO¿Viene de cualquier dirección de red en ipset ipsok?
Respuesta1
La política predeterminada de Iptables es ACCEPT. Entonces, al agregar IP a su lista, solo las ACEPTA dos veces.
Deberías iptables -Lmostrarlo, es decir, las únicas reglas serán ACEPTAR reglas.
Cambie el valor predeterminado a SOLTAR, luego agregue sus artículos a ACEPTAR.
Pruebe esto antes de establecer la regla de coincidencia:
iptables -P INPUT DROP
Tenga cuidado: no haga esto de forma remota o es probable que se bloquee.