1. дома
  2. Вопрос и ответ
  3. Использование списков fireHOL IP, ipset и iptables вместе

Использование списков fireHOL IP, ipset и iptables вместе

2016-02-12 4 views
1

Я хотел бы использовать списки fireHOL ip: http://iplists.firehol.org, ipset и iptables вместе на моем веб-сервере centOS.Использование списков fireHOL IP, ipset и iptables вместе

Я установил списки fireHOL и обновил списки IP-адресов, которые он генерирует.

IP-списки создает сохраняются в:/и т.д./firehol/ipsets (https://github.com/firehol/blocklist-ipsets/wiki/Downloading-IP-Lists#where-are-the-ipsets)

Я установил ipset.

У меня уже установлены iptables и работают (управляются через CSF/LFD).

Как связать списки IP-адресов, ipset и iptables, чтобы списки блокировались через iptables (https://github.com/firehol/blocklist-ipsets/wiki/Downloading-IP-Lists#updating-the-ipsets-in-kernel)?

Спасибо за любую помощь.

источник

2016-02-12 memrat

ответ

2

Я не знаю, как это сделать с CSF/LFD, но если вы используете FireHOL, для каждого ipset вам понадобится что-то вроде следующего.

Предположим, что вас интересует ipset dshield. В вашем firehol.conf, на ее вершине, вы должны добавить следующее:

ipset4 create dshield hash:net 
ipset4 addfile dshield ipsets/dshield.netset 
blacklist4 input inface ${wan} log "BLACKLIST dshield" ipset:dshield

Конечно, выше фрагмент. Вам необходимо правильно настроить firehol.conf.

Затем update-ipsets автоматически обновит dshield в ядре при его обновлении.

Таким образом, общая идея:

  1. создать ipset с именем списка IP вы заинтересованы
  2. инициализировать его с содержимым файла, порождаемых ДОПОЛНЕНО ipsets
  3. создать черный список который использует ipset созданный
  4. ДОПОЛНЕНО ipsets будет автоматически обновлять ipset в ядре

firehol заботится о 1,2,3 и обновляет ipsets 4-го. Проверьте: https://github.com/firehol/firehol/wiki/Working-with-IPSETs

Альтернативно: Вы можете сделать 1 и 2, выполнив команды ipset на своей консоли. Вы можете сделать 3 с помощью своего брандмауэра (он должен поддерживать ipsets) или запустить команды iptables на консоли.

Если вы не знаете, что делать, самым простым способом является использование firehol. Проверьте его документы (http://firehol.org/guides/firehol-welcome/).

источник

2016-02-13 00:46:05

+0

Интересно, я ценю подробный ответ. Интересно, может ли firehol работать рядом с моей существующей настройкой CSF/LFD? Таким образом, я сохраняю существующую настройку и использую firehol только для блоклистов ... – memrat

+0

Ну, firehol справится со всем, что касается вашего брандмауэра iptables. Вы не можете одновременно запускать 2 брандмауэра iptables. –

+0

Я создал простой скрипт, чтобы позаботиться о 1 и 2 выше: https://github.com/firehol/firehol/blob/master/contrib/ipset-apply.sh Итак, используйте это, чтобы создать ipset и загрузить любой файл в ядро.Вы должны будете использовать свой брандмауэр для использования созданного ipset для блокировки трафика. Теперь у вас есть 1, 2, 4, но вам не хватает 3. Это нужно сделать с помощью брандмауэра (или путем ввода команд iptables вручную, но я настоятельно рекомендую не делать этого). –

 Смежные вопросы

  • Нет связанных вопросов^_^