デフォルトチェーンポリシーの設定

デフォルトチェーンポリシーの設定

access.txtのリストがあります。

123.456.4.6

23.56.78.8

21.4.5.77

ランニング:

iptables -A INPUT -p tcp -s $i --dport 1234 -j ACCEPT

私の問題はaccess.txtリストにあり、毎分新しいIPアドレスが表示されます。ニュースIPアドレスを取得または追加するには、毎回iptablesを再起動する必要があります。

再起動せずにニュースIPアドレスを追加するには?

答え1

ブラックリストまたはホワイトリストにipsetを使用するので、iptablesルールは常に同じです。

ipset create whitewall hash:net
ipset add whitewall 123.156.4.6
ipset add whitewall 23.56.78.8
ipset add whitewall 21.4.5.77

iptables -A INPUT -i em2 -p tcp --dport 1234 -m set --match-set whitelist src -jACCEPT

これで、ipsetまたは再起動時にアドレスを取得できますadddeletesaverestore

答え2

動作しません。私の賭けはどこにありますか?リスト2つを作成しました。

ipset.whitelist.conf

iptables_rules_66

#

ホワイトリストのハッシュ作成: net family inet hashsize 1024 maxelem 65536

ホワイトリストを追加 22.21.78.21

ホワイトリスト 22.22.44.5 追加

#

デフォルトチェーンポリシーの設定

*鎌

: 事前ルーティングを許可

:受け入れるには入力してください。

: 出力を許可

:背面配線可能

犯罪

*フィルター

:入力ダウン

:これから倒れる

: 出力を許可

:fail2ban-ssh - [0:0]

2つの禁止規則の失敗(常に最初に表示されるようにする)

-A Enter -p tcp -m マルチポート --dports 22 -jfail2ban-ssh

確立されたセッションがトラフィックを受信できるようにする

-A enter -m conntrack --ctstate 設定、関連 -j accept -A enter -p icmp -s 10.0.0.0/8 -j accept

-A 入力 -p tcp -s 10.66.0.0/10 -j 承諾

-A 入力 -p tcp -m tcp --dport 1963 -m set --match-set ホワイトリスト src -j

受け入れる

-A 入力 -p tcp -m tcp --dport 1234 -m set --match-set ホワイトリスト src -j accept

-A 入力 -p tcp -m tcp --dport 80 -m set --match-set ホワイトリスト src -j accept

2番目のサーバーのすべてを許可する

-A 入力 -s xx.xx.xx.x -j 受け入れ

VPN 80-1945-4546を許可

-A 入力 -i tun0 -p tcp --dport 80 -j

-A 入力 -i tun0 -p tcp --dport 1945 -j

-A 入力 -i tun0 -p tcp --dport 7000 -j

-A 入力 -i tun0 -p tcp --dport 8096 -j 受け入れ

ローカルホストから受け入れる

-A 入力 -i lo -j 受け入れ

-A 出力 -o lo -j 受け入れ

犯罪

#

/sbin/ipset 復元 < /etc/ipset.whitelist.conf

/sbin/iptables - 復元 < /etc/iptables_rules_66

動作しない

関連情報