К основному контенту

Где создать почту: сервисы для регистрации почтового ящика Найди красивый и короткий E-mail!

Скрипт черного списка Iptables

Как заблокировать ненужные ip адреса ?

Небольшой скрипт интерпретатора Bash, который использует ipset и iptables для запрета большого количества IP-адресов, опубликованных в черных списках IP.

ipset использует хэш-таблицу для хранения/извлечения IP-адресов, и, следовательно, поиск IP-адресов намного быстрее, чем тысячи последовательно разобранных правил запрета iptables.

Однако предел списка ipset составляет 2 ^ 16 записей.

 IPSET_BLACKLIST_NAME=blacklist # change it if it collides with a pre-existing ipset listIPSET_TMP_BLACKLIST_NAME=${IPSET_BLACKLIST_NAME}-tmp# ensure the diretory for IP_BLACKLIST/IP_BLACKLIST_RESTORE exists (it won't be created automatically)IP_BLACKLIST_RESTORE=/etc/ipset-blacklist/ip-blacklist.restoreIP_BLACKLIST=/etc/ipset-blacklist/ip-blacklist.listVERBOSE=yes # probably set to "no" for cron jobs, default to yesFORCE=yes # will create the ipset-iptable binding if it does not already existlet IPTABLES_IPSET_RULE_NUMBER=1 # if FORCE is yes, the number at which place insert the ipset-match rule (default to 1)# List of URLs for IP blacklists. Currently, only IPv4 is supported in this script, everything else will be filtered.BLACKLISTS=(# "file:///etc/ipset-blacklist/ip-blacklist-custom.list" # optional, for your personal nemeses (no typo, plural)"https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1" # TOR Exit Nodes"https://www.maxmind.com/en/proxy-detection-sample-list" # MaxMind GeoIP Anonymous Proxies"http://danger.rulez.sk/projects/bruteforceblocker/blist.php" # BruteForceBlocker IP List"https://www.spamhaus.org/drop/drop.lasso" # Spamhaus Don't Route Or Peer List (DROP)"http://cinsscore.com/list/ci-badguys.txt" # C.I. Army Malicious IP List"https://www.openbl.org/lists/base.txt" # OpenBL.org 30 day List"https://lists.blocklist.de/lists/all.txt" # blocklist.de attackers"http://blocklist.greensnow.co/greensnow.txt" # GreenSnow"https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset" # Firehol Level 1# "http://ipverse.net/ipblocks/data/countries/xx.zone" # Ban an entire country, see http://ipverse.net/ipblocks/data/countries/)MAXELEM=1000000 

Установка

 # wget -O /usr/local/sbin/update-blacklist.sh https://raw.githubusercontent.com/trick77/ipset-blacklist/master/update-blacklist.sh# chmod +x /usr/local/sbin/update-blacklist.sh# mkdir -p /etc/ipset-blacklist# wget -O /etc/ipset-blacklist/ipset-blacklist.conf https://raw.githubusercontent.com/trick77/ipset-blacklist/master/ipset-blacklist.conf 

Измените ipset-blacklist.conf в соответствии с вашими потребностями.

По умолчанию, черные списки IP-адресов будут сохранены в /etc/ipset-blacklist/ip-blacklist.restore

 # apt-get install ipset
 # /usr/local/sbin/update-blacklist.sh /etc/ipset-blacklist/ipset-blacklist.conf 

Создайте черный список ipset и вставьте его в свой входной фильтр iptables (см. Ниже).

После надлежащего тестирования обязательно сохраните его в скрипты брандмауэра или аналогичном, или правила будут потеряны после следующей перезагрузки.

Автоматическое обновление черного списка с помощью задания cron

Правило фильтрации iptables

 # Enable blacklistsipset restore < /etc/ipset-blacklist/ip-blacklist.restoreiptables -I INPUT 1 -m set --match-set blacklist src -j DROP 

Обязательно запустите этот фрагмент в сценарии брандмауэра.

Если вы этого не сделаете, будет отсутствовать черный список ipset и правило iptables для запрета адресов из черного списка.

Cron job

Чтобы автоматически обновить черный список, скопируйте следующий код в /etc/cron.d/update-blacklist.

Не обновляйте список слишком часто, или некоторые поставщики черного списка запретят ваш IP-адрес.

Скачать

Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользо

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображе

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone h