Strona 1 z 1

[Rozw.]iptables i black/white list

: 2010-01-20, 00:45
autor: coolart
witam czy jest mozliwosc dodania np czarnej i bialej listy adresow ip?

Prubowalem w ten sposob

Kod: Zaznacz cały

iptables $BLACKLIST -p 80 -j DROP

## a lista w pliku ma forme

-A INPUT 79.0.0.0/8

i niestety wypluwa mi ze

Kod: Zaznacz cały

-A: command not found
kiedy dodam echo '' nie wywala nic lecz przy wpisaniu drugiej lini juz ma ale. Czy ktos wie jak to zrobic ?

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 01:00
autor: Outlaw
Spróbuj tak, ale nie jestem pewny czt będzie czytać pojedyńczymi liniami

Kod: Zaznacz cały

for i in `cat plik | cut -d'#' `
do

iptables $i -p 80 -j DROP 

done
}
Spróbuj w zmiennej i trzymać tylko adres IP.

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 01:02
autor: see
spróbuj najpierw tak:

Kod: Zaznacz cały

iptables -N czarna_lista 
potem regułki

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 01:06
autor: Outlaw
see, sam nowy łańcuch mu nic nie da, trzeba coś ewentualnie do niego wrzucić.

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 01:36
autor: coolart
dzieki wielkie Outlaw, oto mi chodzilo.
A czy iptables poradzi sobie z 5MB baza i czy to wplynie na szybkosc dzialania np squid'a ?
serwerek jak narazie to duron 850MHz z 512MB zajete przy starcie jest kolo 185MB

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 01:44
autor: Pajaczek
Outlaw pisze:see, sam nowy łańcuch mu nic nie da, trzeba coś ewentualnie do niego wrzucić.
No to przecież napisał... "potem regułki"

dodawanie takiej ilości reguł do głównych łańcuchów raczej dobrym pomysłem nie jest.

5MB baza nie oddaje tego, co w niej jest, powiedz raczej ile tam jest rekordów w bazie. Przy kilkuset tys. może się robić pewne (spore) opóźnienie (choć to jest względne, co dla kogo "spore"). Patrząc na zapis z pierwszego postu, to może być ok 200 tys rekordów (na te 5MB), przy takiej ilości może warto by już pogrupować, np. na 256 grup względem 1 oktetu adresu ip?
Pamiętaj że dla adresu którego nie ma na blacklist, przy takiej realizacji będzie musiało wystąpić 200 tys porównań... dla każdego pakietu. (adresy z listy mogą zostać odrzucone znacznie wcześniej).

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 01:55
autor: see
Jak masz squida to lepiej ogranicz to na squid a nie na iptables

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 03:12
autor: coolart
aha czyli iptables nie jest zbyt eleganckim rozwiązaniem przy blokowaniu sporej listy adresów chyba ze zrobi sie blokowanie danej puli z odpowiednia maska by zacisnąć bazę do minimum.
see, No tak tylko muszę jeszcze trochę przekopać neta i co nieco dowiedzieć sie jeszcze o squid'ie bo to co mam zrobione jest na szybko w celach edu. Fakt ze działa, zezwolone tylko na dane ip wew. bez dzielenia i innych pierdołek a o iptables to juz nie wspomnę ze przydało by sie poczytać więcej dobrych artów z przykładami. Ang. znam lecz jeszcze slabo by przetłumaczyć większy text

jeszcze raz dzieki za pomoc, jak na razie będę stosował to do paru adresów, co do tego pytania z 5MB to było z czystej ciekawości

Re: [Rozw.]iptables i black/white list

: 2010-01-20, 13:50
autor: Pajaczek
coolart pisze:aha czy iptables nie jest zbyt eleganckim rozwiązaniem przy blokowaniu sporej listy adresów chyba ze zrobi sie blokowanie danej puli z odpowiednia maska by zacisnąć bazę do minimum.
Dlaczego nieeleganckim, eleganckim na tyle, na ile eleganckie może być filtrowanie tak dużej ilości adresów. To musi potrwać niezależnie jakim narzędziem jest wykonane.

Re: [Rozw.]iptables i black/white list

: 2010-01-21, 02:58
autor: coolart
ok ale jak narazie to tylko pare ip bede w taki sposob blokowal ktore sa natarczywe dlatego by mi ulatwic zycie kogo w puszczac a kogo blokowac.
jeszcze raz dzieki