У меня есть спамер из России, я указал следующий диапазон IP-адресов в своих IPtables, но они все равно могут получить доступ к портам 80, 443 моего веб-сервера.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -s 4.53.0.0/16 -j DROP
-A INPUT -s 173.205.0.0/16 -j DROP
-A INPUT -s 37.9.0.0/16 -j DROP
-A INPUT -j DROP
COMMIT
Что я упускаю? Я хотел заблокировать эти диапазоны 37,9., 173.205., 4.53.*
решение1
-Iвставляет правило в начало, -Aв конец. Поскольку вы добавляете все правила, порт приема 443будет выше в списке, чем диапазон падает.
При получении пакета применяется только первое совпадающее правило.