Jump to content

blacklist в shorewall

Andrei
 Share

Recommended Posts

Andrei

Andrei

Posted
Posted

Есть достаточно экзотичный кусок сети, где блокировать клиентов со статическими белыми ip получается только дропая shorewall-ом пакеты, идущие с блокируемых ip.

shorewall стоит на дебиане, который этот сегмент и роутит. Для блокировки/разблокировки в каталоге shorewall-а в файлик blacklist скриптом добавляю/удаляю строки вида

DROP            net:212.ххх.ххх.37      all

c последующим shorewall reload (или restart)

Но почему-то блокируемые адреса даже не видно при проверке

iptables -n -L

И трафик с блокируемых адресов не дропается.

 

В shorewall.conf опция

BLACKLISTNEWONLY=Yes

 

Какие есть нюансы? Куда еще копнуть?

Andrei

Andrei

Posted
  • Author
Posted

Не проще ли завести ipset c одним правилом в iptables?

Предлагается завести список хостов, который будет правиться скриптом, и к нему примерять дропающее rule?

Если так, то вроде те же яйца, только вид сбоку.

 

Или вот это - http://linuxru.org/linux/324

Как оно будет сосуществовать с shorewall? Не передерутся? :)

 

Если я ее понял идею, сорри. Поясните.

pppoetest

pppoetest

Posted
Posted

Шорвал не нужен. Вместе не уживутся, функционал идентичен. За исключение, что при использовании ipset будет одна проверка каждого пакета, в отличие от линейного списка сгенеренного shorewall'ом. Одно правило в файер вида

iptables -I FORWARD -i eth0 -m set --match-set block_list src -j DROP

 

управление так:

ipset -A block_list 10.1.1.1 //запретить интернеты 10.1.1.1

ipset -D block_list 10.1.1.1 //разрешить интернеты 10.1.1.1

 

Если так, то вроде те же яйца, только вид сбоку.

Не совсем, линейный список - моветон.

Andrei

Andrei

Posted
  • Author
Posted

Shorewall стоит и используется уже лет 10 как, поэтому отказываться от него никто не будет.

Все решилось просто.

В blacklist ипы просто перечисляются

212.ххх.ххх.37
212.ххх.ххх.44
212.ххх.ххх.62

а не срабатывало, т.к. не добавили в zone указание на необходимость использования blacklist-а

#ZONE   TYPE            OPTIONS         IN                      OUT
#                                       OPTIONS                 OPTIONS
...
unet    ipv4            blacklist
...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.