Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Blokowanie IP przez iptables

https://www.debian.pl/viewtopic.php?t=30395

Strona 1 z 4

Blokowanie IP przez iptables

: 03 marca 2014, 03:18
autor: gambi
Witam, mam u siebie na debianie7 uruchomiony serwer gry, który działa na porcie 25000.
Chciałbym uzyskać możliwość banowania przez dodanie ip delikwenta do iptables.
Dodam, że mam uruchomiony skrypt

Kod: Zaznacz cały

firewall
w lokalizacji

Kod: Zaznacz cały

/etc/init.d/firewall
Skrypt służy mi do udostępniania internetu w sieci lokalnej.
Oto zawartość firewall:

Kod: Zaznacz cały

# wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

# ustawienie domyslnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
Czy do blokowania IP może służyć taki firewall i jaką regułę dokładnie dopisać aby zablokować konkretne ip?
pozdrawiam

: 03 marca 2014, 07:41
autor: pawkrol
Może być tak jeśli serwer gry działa na tcp to ( jeśli po udp to zmień na udp)

BLOCK=adres_ip1,adres_ip2_adres_ip3
iptables -A INPUT -s $BLOCK -p tcp -m tcp --dport 25000 -j DROP

Wstaw po domyślnych politykach

: 03 marca 2014, 13:47
autor: dedito
Moja wątpliwość to czy można w argumencie BLOCK podać adresy ip oddzielone przecinkami, to działa raczej na jednym adresie ip, a grupę uzyskujemy operując maską lub kolejną regułką.
Poza tym to jest taki "pseudofirewall" bo i tak domyślnie przepuszcza wszystko, ale jeśli ma to tylko blokować dostęp do gry to w tym zastosowaniu się nadaje. Sprawdź też w samym serwerze gier, czy udostępnia też banowanie, być może ma już taką opcję.

: 03 marca 2014, 15:14
autor: pawkrol
Mi podobna reguła działa ( kilka ip po przecinkach). Debian 7

: 10 września 2014, 07:26
autor: gambi
pawkrol pisze:Może być tak jeśli serwer gry działa na tcp to ( jeśli po udp to zmień na udp)

BLOCK=adres_ip1,adres_ip2_adres_ip3
iptables -A INPUT -s $BLOCK -p tcp -m tcp --dport 25000 -j DROP

Wstaw po domyślnych politykach
Taka reguła działa ale mam jeszcze pytanie jak zablokować zakres adresów ip?
Mam na myśli banowanie zakresu ip np: 192.168.0.0 - 192.168.255.255

: 10 września 2014, 08:20
autor: pawkrol
To juz wydaje mi się że musisz operować na masce
np : iptables -A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 25000 -j DROP

16 = 255.255.0.0
Jak coś to polecam kalkulator ip = http://42.pl/ipcalc/

: 10 września 2014, 22:40
autor: piroaa
Dzień dobry.
Zerknij jeszcze tu :
http://www.varlog.pl/2010/03/ipset-znany-i-nieznany/

: 10 października 2015, 11:39
autor: gambi
Witam, proszę o pomoc jak zablokować w iptables całą domenę

Kod: Zaznacz cały

f218.fuchsia.servdiscount-customer.com
.
Adres ip dla tej domeny to

Kod: Zaznacz cały

217.79.184.92
.
Próbowałem tak ale nie zadziałało

Kod: Zaznacz cały

iptables -A INPUT -s 217.79.184.92 -j DROP

: 11 października 2015, 11:30
autor: dedito
Co chcesz zablokować, dostęp do tej domeny, czy dostęp z tej domeny?
Opisz szerzej sytuację.

: 11 października 2015, 14:28
autor: gambi
Chciałbym zablokować dostęp z tej domeny/adresu, ponieważ zauważyłem próby "ataków" na mój serwer.
Strefa czasowa UTC+02:00
Strona 1 z 4

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl