iptables...ipset に設定された IP を超えない範囲をブロックします。

iptables...ipset に設定された IP を超えない範囲をブロックします。

私はこの範囲のIPS 197.192.xxを持っており、毎日ポップ/imap/smtpサーバーに対して無差別代入攻撃を受けています。

私のサーバーを攻撃したいすべてのIPをブロックするこのIPsetを設定しました。

197.192で始まるすべてのIPへのpop / smtp / imapアクセスをブロックしたいと思います。

これを行うには、次のコマンドを入力しました。

ipset -A myIpset 197.192.0.0/24

しかし、これにより私のIPsetに65536個のIPが追加され、サイズが大きくなり、IPを追加できなくなりました。

もう少しエレガントな方法でこれを行う方法はありますか?

答え1

今回は、種類のブロックする別のIPsetを追加し、hash:netそのIPsetに197.192.0.0/16を追加できます。または、IPアドレス(ネットマスク32)も保存できます。IPsethash:netをこれらのタイプの1つに置き換えます。hash:net

hash:ip以下から変換するにはhash:net

 ipset save myIpset > myIpset &&
   ipset destroy myIpset &&
   sed s/:ip/:net/ myIpset | ipset restore &&
   ipset add myIpset 197.192.0.0/16

答え2

ipsetを使用せずにこれを行うことができ、ネットワークを非常に簡単に一致させることができます。

iptables -I INPUT -s 197.192.0.0/16 -p tcp --dports smtp,imap,pop3 -j DROP

または同様です。

注:次の住所に虐待を報告しましたか?[Eメール保護]AfriNIC Whoisの要件に従いますか?試してみる価値があります...

関連情報