No puedo bloquear una IP

tag-icon tag-icon csf
No puedo bloquear una IP

Tengo una regla de redireccionamiento en mi CSF como la siguiente;

17.1.1.13|80|27.5.5.22|80|tcp

17.1.1.13es mi firewall (csf) y 27.5.5.22es la dirección de mi servidor web. Entonces todos acceden a mi sitio web a través del firewall. Bloquear una regla de redireccionamiento en CSF (iptables)

Y he estado intentando bloquear 50.30.0.0/16el bloqueo CIDR y se ha agregado a mi csf.denyarchivo.

Ahora, si intento visitar un sitio web usando 44.5.6.7la dirección IP, puedo hacerlo. Aunque 50.30.0.1está bloqueado, puedo acceder al sitio web utilizando la dirección IP. Quiero bloquear 50.30.0.1en todas las circunstancias.

Líneas relacionadas de mis iptables como las siguientes. ¿Qué tengo que hacer?

Chain DENYIN (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 LOGDROPIN  all  --  !lo    *       50.30.0.0/16          0.0.0.0/0           

Chain DENYOUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 LOGDROPOUT  all  --  *      !lo     0.0.0.0/0            50.30.0.0/16 

Chain PREROUTING (policy ACCEPT 7 packets, 336 bytes)
num   pkts bytes target     prot opt in     out     source               destination   
1        0     0 REDIRECT   tcp  --  !lo    *       50.30.0.0/16          0.0.0.0/0 
2        0     0 REDIRECT   tcp  --  !lo    *       50.30.0.0/16          0.0.0.0/0      
3        0     0 DNAT       tcp  --  !lo    *       0.0.0.0/0            17.1.1.13
4        0     0 DNAT       tcp  --  !lo    *       0.0.0.0/0            17.1.1.13

Chain POSTROUTING (policy ACCEPT 6 packets, 699 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 SNAT       tcp  --  *      !lo     0.0.0.0/0            27.5.5.22 
2        0     0 SNAT       tcp  --  *      !lo     0.0.0.0/0            27.5.5.22

Respuesta1

Cuando utiliza un APPENDcomando -A (para) iptables, su regla se agrega al final de la tabla.

La forma en que se evalúan las reglas es de la primera a la última, y ​​cualquier regla coincidente que dé como resultado una decisión ( ACCEPT, REJECT, DENY) detiene la evaluación de cualquier regla posterior.

Entonces aquí lo que pasa es que tu DROPregla nunca importará, ya que si iptablesla evalúa, igual habría ido a la DROPpóliza.

Debe agregar su regla antes de cualquier ACCEPTregla a la que desee que la dirección IP correspondiente no pueda acceder. Supongo que como primera regla en tu caso.

Que seria algo asi

iptables -I INPUT -s 5.254.0.0/16 -j DROP

Agregará la regla al principio de la tabla, por lo tanto, la considerará antes que nada e ignorará el resto de sus reglas para cualquier IP coincidente, cuyos paquetes se descartarán.

Tenga en cuenta que si necesita ser más preciso sobre dónde insertó su regla, puede especificar un número posicional justo después del -I.

información relacionada