[Rozw.]iptables i black/white list

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
coolart
Użytkownik
Posty: 250
Rejestracja: 2004-06-20, 03:08
Kontakt:

[Rozw.]iptables i black/white list

Post autor: coolart »

witam czy jest mozliwosc dodania np czarnej i bialej listy adresow ip?

Prubowalem w ten sposob

Kod: Zaznacz cały

iptables $BLACKLIST -p 80 -j DROP

## a lista w pliku ma forme

-A INPUT 79.0.0.0/8

i niestety wypluwa mi ze

Kod: Zaznacz cały

-A: command not found
kiedy dodam echo '' nie wywala nic lecz przy wpisaniu drugiej lini juz ma ale. Czy ktos wie jak to zrobic ?
Ostatnio zmieniony 2010-01-21, 02:59 przez coolart, łącznie zmieniany 1 raz.

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: [Rozw.]iptables i black/white list

Post autor: Outlaw »

Spróbuj tak, ale nie jestem pewny czt będzie czytać pojedyńczymi liniami

Kod: Zaznacz cały

for i in `cat plik | cut -d'#' `
do

iptables $i -p 80 -j DROP 

done
}
Spróbuj w zmiennej i trzymać tylko adres IP.

see
Użytkownik
Posty: 114
Rejestracja: 2006-04-06, 21:39

Re: [Rozw.]iptables i black/white list

Post autor: see »

spróbuj najpierw tak:

Kod: Zaznacz cały

iptables -N czarna_lista 
potem regułki

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: [Rozw.]iptables i black/white list

Post autor: Outlaw »

see, sam nowy łańcuch mu nic nie da, trzeba coś ewentualnie do niego wrzucić.

Awatar użytkownika
coolart
Użytkownik
Posty: 250
Rejestracja: 2004-06-20, 03:08
Kontakt:

Re: [Rozw.]iptables i black/white list

Post autor: coolart »

dzieki wielkie Outlaw, oto mi chodzilo.
A czy iptables poradzi sobie z 5MB baza i czy to wplynie na szybkosc dzialania np squid'a ?
serwerek jak narazie to duron 850MHz z 512MB zajete przy starcie jest kolo 185MB

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: [Rozw.]iptables i black/white list

Post autor: Pajaczek »

Outlaw pisze:see, sam nowy łańcuch mu nic nie da, trzeba coś ewentualnie do niego wrzucić.
No to przecież napisał... "potem regułki"

dodawanie takiej ilości reguł do głównych łańcuchów raczej dobrym pomysłem nie jest.

5MB baza nie oddaje tego, co w niej jest, powiedz raczej ile tam jest rekordów w bazie. Przy kilkuset tys. może się robić pewne (spore) opóźnienie (choć to jest względne, co dla kogo "spore"). Patrząc na zapis z pierwszego postu, to może być ok 200 tys rekordów (na te 5MB), przy takiej ilości może warto by już pogrupować, np. na 256 grup względem 1 oktetu adresu ip?
Pamiętaj że dla adresu którego nie ma na blacklist, przy takiej realizacji będzie musiało wystąpić 200 tys porównań... dla każdego pakietu. (adresy z listy mogą zostać odrzucone znacznie wcześniej).
Ostatnio zmieniony 2010-01-20, 01:49 przez Pajaczek, łącznie zmieniany 2 razy.

see
Użytkownik
Posty: 114
Rejestracja: 2006-04-06, 21:39

Re: [Rozw.]iptables i black/white list

Post autor: see »

Jak masz squida to lepiej ogranicz to na squid a nie na iptables

Awatar użytkownika
coolart
Użytkownik
Posty: 250
Rejestracja: 2004-06-20, 03:08
Kontakt:

Re: [Rozw.]iptables i black/white list

Post autor: coolart »

aha czyli iptables nie jest zbyt eleganckim rozwiązaniem przy blokowaniu sporej listy adresów chyba ze zrobi sie blokowanie danej puli z odpowiednia maska by zacisnąć bazę do minimum.
see, No tak tylko muszę jeszcze trochę przekopać neta i co nieco dowiedzieć sie jeszcze o squid'ie bo to co mam zrobione jest na szybko w celach edu. Fakt ze działa, zezwolone tylko na dane ip wew. bez dzielenia i innych pierdołek a o iptables to juz nie wspomnę ze przydało by sie poczytać więcej dobrych artów z przykładami. Ang. znam lecz jeszcze slabo by przetłumaczyć większy text

jeszcze raz dzieki za pomoc, jak na razie będę stosował to do paru adresów, co do tego pytania z 5MB to było z czystej ciekawości
Ostatnio zmieniony 2010-01-21, 02:55 przez coolart, łącznie zmieniany 1 raz.

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: [Rozw.]iptables i black/white list

Post autor: Pajaczek »

coolart pisze:aha czy iptables nie jest zbyt eleganckim rozwiązaniem przy blokowaniu sporej listy adresów chyba ze zrobi sie blokowanie danej puli z odpowiednia maska by zacisnąć bazę do minimum.
Dlaczego nieeleganckim, eleganckim na tyle, na ile eleganckie może być filtrowanie tak dużej ilości adresów. To musi potrwać niezależnie jakim narzędziem jest wykonane.

Awatar użytkownika
coolart
Użytkownik
Posty: 250
Rejestracja: 2004-06-20, 03:08
Kontakt:

Re: [Rozw.]iptables i black/white list

Post autor: coolart »

ok ale jak narazie to tylko pare ip bede w taki sposob blokowal ktore sa natarczywe dlatego by mi ulatwic zycie kogo w puszczac a kogo blokowac.
jeszcze raz dzieki

ODPOWIEDZ