원하지 않는 TCP/IP 트래픽을 차단할 수 있는 확실한 방법을 찾고 있습니다.
내 리눅스 머신에서는 iptables와 ipset이 그렇게 하는 좋은 방법을 제공하는 것 같습니다.
지금까지 나는 이것을 해왔습니다:
ipset create ipsok hash:net maxelem (result of wc -l for my cidr list in a file)
ipset add <network address>
그리고 이것이 다음을 사용하는 유일한 IPset인지 확인하십시오.
service ipset status
이는 올바른 수의 항목이 있는 ipset ipsok만 표시합니다. 또한 재부팅 후 ipset이 사용되는지 확인했습니다. 그런 다음 iptables 규칙에 ipset를 추가합니다.
iptables -I INPUT -m set --match-set ipsok src -j ACCEPT
이것이 작동하는지 테스트하기 위해 TOR가 나에게 IP 주소를 제공하도록 하고 다음을 통해 이를 확인합니다.
ipset test ipsok <tor ip address>
주소가 이렇게 나와있어요아니다입속세트에요.
Tor 브라우저를 내 컴퓨터로 연결하면 연결이 이루어집니다. 이 올바른지? ipset에 해당 IP 주소가 없어서 연결이 실패할 줄 알았습니다.
iptables(및 ipset)가 트래픽을 차단하도록 하려면 어떻게 해야 합니까?아니다ipset ipsok의 어떤 네트워크 주소에서 나오나요?
답변1
Iptables의 기본 정책은 입니다 ACCEPT. 따라서 목록에 IP를 추가하면 해당 IP를 두 번만 수락하게 됩니다.
최대한 많이 표시 해야 iptables -L합니다. 즉, 유일한 규칙은 ACCEPT 규칙입니다.
기본값을 DROP으로 변경한 다음 항목을 ACCEPT에 추가하세요.
일치 세트 규칙 전에 다음을 시도해 보세요.
iptables -P INPUT DROP
조심하십시오. 원격으로 이 작업을 수행하지 마십시오. 그렇지 않으면 자신이 갇힐 수 있습니다.