access.txtのリストがあります。
123.456.4.6
23.56.78.8
21.4.5.77
ランニング:
iptables -A INPUT -p tcp -s $i --dport 1234 -j ACCEPT
私の問題はaccess.txtリストにあり、毎分新しいIPアドレスが表示されます。ニュースIPアドレスを取得または追加するには、毎回iptablesを再起動する必要があります。
再起動せずにニュースIPアドレスを追加するには?
答え1
ブラックリストまたはホワイトリストにipsetを使用するので、iptablesルールは常に同じです。
ipset create whitewall hash:net
ipset add whitewall 123.156.4.6
ipset add whitewall 23.56.78.8
ipset add whitewall 21.4.5.77
iptables -A INPUT -i em2 -p tcp --dport 1234 -m set --match-set whitelist src -jACCEPT
これで、ipsetまたは再起動時にアドレスを取得できますadd
。delete
save
restore
答え2
動作しません。私の賭けはどこにありますか?リスト2つを作成しました。
ipset.whitelist.conf
iptables_rules_66
#ホワイトリストのハッシュ作成: net family inet hashsize 1024 maxelem 65536
ホワイトリストを追加 22.21.78.21
ホワイトリスト 22.22.44.5 追加
#デフォルトチェーンポリシーの設定
*鎌
: 事前ルーティングを許可
:受け入れるには入力してください。
: 出力を許可
:背面配線可能
犯罪
*フィルター
:入力ダウン
:これから倒れる
: 出力を許可
:fail2ban-ssh - [0:0]
2つの禁止規則の失敗(常に最初に表示されるようにする)
-A Enter -p tcp -m マルチポート --dports 22 -jfail2ban-ssh
確立されたセッションがトラフィックを受信できるようにする
-A enter -m conntrack --ctstate 設定、関連 -j accept -A enter -p icmp -s 10.0.0.0/8 -j accept
-A 入力 -p tcp -s 10.66.0.0/10 -j 承諾
-A 入力 -p tcp -m tcp --dport 1963 -m set --match-set ホワイトリスト src -j
受け入れる
-A 入力 -p tcp -m tcp --dport 1234 -m set --match-set ホワイトリスト src -j accept
-A 入力 -p tcp -m tcp --dport 80 -m set --match-set ホワイトリスト src -j accept
2番目のサーバーのすべてを許可する
-A 入力 -s xx.xx.xx.x -j 受け入れ
VPN 80-1945-4546を許可
-A 入力 -i tun0 -p tcp --dport 80 -j
-A 入力 -i tun0 -p tcp --dport 1945 -j
-A 入力 -i tun0 -p tcp --dport 7000 -j
-A 入力 -i tun0 -p tcp --dport 8096 -j 受け入れ
ローカルホストから受け入れる
-A 入力 -i lo -j 受け入れ
-A 出力 -o lo -j 受け入れ
犯罪
#/sbin/ipset 復元 < /etc/ipset.whitelist.conf
/sbin/iptables - 復元 < /etc/iptables_rules_66
動作しない