Неверная конфигурация iptables ipset?

Question

Неверная конфигурация iptables ipset?

Я ищу надежный метод для блокировки нежелательного трафика TCP/IP.

На моем Linux-компьютере iptables и ipset предлагают хороший способ сделать это.

До сих пор я сделал это:

ipset create ipsok hash:net maxelem (result of wc -l for my cidr list in a file)
ipset add <network address>

И убедился, что это единственный ipset, использующий:

service ipset status

Это показывает только ipset ipsok с нужным количеством записей. Я также удостоверился, что ipset используется после перезагрузки. Затем я добавляю ipset в правила iptables:

iptables -I INPUT -m set --match-set ipsok src -j ACCEPT

Чтобы проверить, работает ли это, я позволю TOR предоставить мне IP-адрес и проверить это с помощью:

ipset test ipsok <tor ip address>

Это говорит мне, что адрес НЕ находится в наборе ipsok.

Когда я направляю браузер tor на мою машину, соединение устанавливается. Это правильно? Я думал, что соединение не будет установлено, потому что IP-адрес не найден в ipset.

Что мне нужно сделать, чтобы iptables (и ipset) блокировали трафик, НЕ приходящий с какого-либо сетевого адреса в ipset ipsok?

0

networking iptables ipset

Источник

Karel de V 04 мар '15 в 01:26

1 ответ

Другие вопросы по тегам networking iptables ipset

Bumptious Q Bangwhistle 20 мар '15 в 19:10 2015-03-20 19:10 · Answer 1 · 2015-03-20 19:10

Политика Iptables по умолчанию ACCEPT, Таким образом, добавляя IP-адреса в список, вы принимаете их только дважды.

Ваш iptables -L должно показывать как можно больше - то есть единственными правилами будут ПРИНЯТЬ правила.

Измените значение по умолчанию на DROP, затем добавьте свои элементы в ACCEPT.

Попробуйте это до того, как ваше правило набора совпадений:iptables -P INPUT DROP

Будьте осторожны - не делайте это удаленно, иначе вы можете запереться.