Небольшой вопрос по IPFW

[gilas]

Доброго дня суток!

Спустя некоторое время работы, мой сервер стали брутить и сканировать разными способами. Помимо этого "китайцы" нагоняют нехилый трафик, посему было решено забанить нафиг весь Китайский диапазон. Диапазон был найден, сохранен в текстовой файл вида:

пример
0.0.0.0/24
0.0.0.0/24
0.0.0.0/24
0.0.0.0/24


Собственно сам вопрос, каким образом передлать скрипт запуска правил ipfw так, чтобы не пришлось вставлять весь этот огромный диапазон в основной скрипт правил, возможно ли брать весь китайский диапазон из файла средствами ipfw? Извиняюсь если такая тема уже поднималась..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

используйте таблицы

[mediamag]

Код: Выделить всё

${fwcmd} table 1 add 10.0.0.0/24

и т д

[gilas]

Было бы корректней задать вопрос сразу же про таблицы, никак не соображу как ими пользоваться...

Предположим есть несколько масок.

Код: Выделить всё

${fwcmd} table 1 add 10.0.0.0/24

и т д

Такое нужно писать в главный скрипт с правилами ipfw ? но тогда отпадает необходимость использовать эти самые таблицы. Может чего-то не понимаю, но в чем отличие этого правила (в моем случае с необходимостью блокировать адреса)

Код: Выделить всё

${fwcmd} table 1 add 10.0.0.0/24

от этого

Код: Выделить всё

${fwcmd} add deny ip from 10.0.0.0/24 to any

Зачем тогда эти таблицы если можно по старинке "ручками" блокировать определенные адреса? Попытаюсь еще раз спросить у гуру - есть ли возможность указать что-то вроде пути к файлу с black-list адресами и применять к ним какие-то правила или одно правило в ipfw? Если туплю, просьба не бить

[mediamag]

так вы пишете каждое правило снова, а в моем случае только таблицу указываете..больше отличий нет...вроде как есть возможность хавать скрипту фаера данные из внешних файлов, но зачем???? что в файлике что в таблице вам придется вносить ручками эти адреса....так не проще ли посоздавать таблицы в самом конфиге фаера?

[gilas]

так вы пишете каждое правило снова, а в моем случае только таблицу указываете..больше отличий нет...вроде как есть возможность хавать скрипту фаера данные из внешних файлов, но зачем???? что в файлике что в таблице вам придется вносить ручками эти адреса....так не проще ли посоздавать таблицы в самом конфиге фаера?

нужно забанить:
10.0.0.0
192.168.0.0

Вы предлагаете:

${fwcmd} table 1 add 10.0.0.0/24
${fwcmd} table 1 add 192.168.0.0/24

какое же отличие от моего варианта? С файлом бы вот узнать как работаем ipfw, это легче в моем случае. например есть место, где ведетсся блек-лист, предположим он лежит на http сервере. "Курлим" его в опред место, по крону запускаем скрипт ipfw - получается автоматизированный способ забанивания ненужных адресов. Остается только узнать как это реализовать на стороне ipfw

[schizoid]

готовите файл вида

Код: Выделить всё

93.80.136.123
93.80.139.176
93.80.146.184
93.80.149.137
93.80.33.172
93.80.51.129
93.80.51.224
93.84.225.202
93.85.41.150

ну или подсети, разницы нет

далее в сам фаер вставляете скрипт:

Код: Выделить всё

      # Portsentry
        for p in `cat /usr/local/etc/portsentry.history | awk '{print $6}'| awk -F / '{print $2}'|sort| uniq`
        do
        ${fwcmd} table 6 add $p
        done

где cat /usr/local/etc/portsentry.history - э то у меня файл истории portsentry, если у вас формат файла так, как я выше показал. тто цикл будет выглядеть так:

Код: Выделить всё

      # Portsentry
        for p in `cat /usr/local/etc/FILE_WITH_BLOCK_ADDRESS `
        do
        ${fwcmd} table 6 add $p
        done

ниже вставляете правило в фаервол:

Код: Выделить всё

      ${fwcmd} add deny log all from 'table(6)' to any

это первый этап, при старте системы или при передергивании правил фаервола.
если вы хотите по крону обновлять таблицы, то сделайте отдельный скрипт вида:

Код: Выделить всё

 
        ipfw table 6 flush
        for p in `cat /usr/local/etc/FILE_WITH_BLOCK_ADDRESS `
        do
        ${fwcmd} table 6 add $p
        done

ну а правило блокируущее в фаерволе остается.