ロシアから来たスパマーが数人あり、次のIP範囲を私のIPtablesに入れましたが、彼らはまだ私のWebサーバーのポート80、443にアクセスできます。
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -s 4.53.0.0/16 -j DROP
-A INPUT -s 173.205.0.0/16 -j DROP
-A INPUT -s 37.9.0.0/16 -j DROP
-A INPUT -j DROP
COMMIT
私は何を見逃していますか?この範囲37.9をブロックしたいです。、173.205。、4.53。*
答え1
-I
-A
始めと終わりにルールを挿入します。すべてのルールが追加されるため、443
リストで許可されているポートは範囲より低くなります。
パケットが受信されると、最初の一致ルールのみが適用されます。