Блокиране на ip адрес с iptables

Използването на fail2ban прави живота много по-лесен. Но понякога просто трябва да забраните някакъв вид ip-shnik без никакви правила и за целия сървър.

Най-лесният и ефективен начин за блокиране на ip:

Вместо DROP можете да поставите REJECT. Що се отнася до целесъобразността на използването на едно или друго, могат да се чуят диаметрално противоположни мнения.

DROP просто затваря връзката и не изпраща нищо обратно. След това връзката се унищожава чрез таймаут, чието време може да бъде намалено, ако желаете. В резултат на това с много заявки не изпращаме нищо в отговор. Въпреки това, когато сканирате затворени портове, те ще бъдат маркирани като филтрирани, което означава, че нещо все още слуша на порта.

REJECT - нулира връзката и изпраща обратно съобщението, посочено в опцията --reject-with. По подразбиране се изпраща хостът е недостъпен. С много заявки - много отговори, но при сканиране портовете ще бъдат недостъпни. Ще бъдат изразходвани повече сървърни ресурси.

Можете да видите всички правила с командата:

На екрана получаваме нещо подобно:

Можете да отключите ред по номер на правило:

или посочване на правилото изцяло:

Премахнете всички правила:

Конфигурираните ip блокове ще останат в сила до следващото рестартиране на системата. За да бъдат възстановени при следващо зареждане на системата, можете да използвате различни методи. Един от най-простите е да инсталирате пакета iptables-persistent, с който можете да запишете създадените от вас правила в отделни конфигурационни файлове, които на свой ред ще се заредят автоматично след рестартиране на системата.

За да запазите правилата, въведете:

---