iptables bzw. Suse Firewall mit IP-Liste live versorgen

Beitrag von **Anonymous** » 05.12.2005, 20:05

wir haben auf einem Server mit Suse ein kleineres DOS-Problem. Da laufen nun schon über 4 Wochen Abrufe bestimmter Dateien.

Ist auch schon per Forbidden geblockt, die IP's (sehr viele verschiedende, offensichtlich ein Virus der Referer-Spam verteilt) werden in eine Datei geschrieben.

Dies Datei möchte ich benutzen um damit diese IP's bereits an der Firewall abzublocken. Nun finde ich alle möglcihen Befehel der FireWall regeln zu geben, aber die Möglichkeit der FireWall die Liste der gesperrten IP's mitzuteilen (bzw. eben eine Liste der Regeln) finde ich nicht.

Hat jemand einen Ansatz / Tipp?

von **Anzeige von ABAKUS** »

Beitrag von **Bauchladen** » 05.12.2005, 20:11

Falls du iptables installiert hast:

Code: Alles auswählen

iptables -A INPUT -s  hier.die.ip.numerisch -j DROP

Beitrag von **Anonymous** » 05.12.2005, 20:41

das ist ja meines Wissens der Befehl zum hinzufügen dieser einen IP. Ich möchte aber iptables mitteilen, wo sich die Datei befindet in der steht:

-A INPUT -s hier.die.ip.numerisch1 -j DROP
-A INPUT -s hier.die.ip.numerisch2 -j DROP
...

und das ganze soll iptables möglichst immer neu lesen, alternativ kann man natürlich einen Cron-machen der das dann aller 5min aktualisiert.

Beitrag von **Bauchladen** » 05.12.2005, 20:56

Ne, das geht nicht. Must du selber skripten.

Beitrag von **Anonymous** » 05.12.2005, 21:35

na, mal sehen. evtl. kann man ja auch den iptables-befehl direkt aus dem pl-script absetzen, welches die irrläufer indentifiziert.

irgenwie find ich es aber eigentlich besser, wenn man die gesperrten ip's in einer textdatei hat. so muß man doch hin und wieder mal in iptables die table aufräumen.

Beitrag von **Bauchladen** » 05.12.2005, 21:43

Ich schreibe die IP's in die Datenbank bei Anfragen eines ungewollten Musters und lese die Datenbank alle 5 Minuten auf allen Maschinen aus.

Beitrag von **Anonymous** » 05.12.2005, 21:51

Auch eine Variante. Mal sehen ob ich es eben doch "gleich richtig" mache.

danke für die tipps.

Beitrag von **Anonymous** » 06.12.2005, 08:53

Ich habe es nun tatsächlich mit einer Datenbank gemacht, die dann per script die iptables-Befehle absetzt. Damit kann man nun zweistufig aussperren: einen 403 für die Bots, und eine Firewall-Sperre für alle ganz nervigen Angreifer.

Ein Problem bleibt noch: die Bad's, die keine Weiterleitungen verfolgen rufen die die Fallen-Skripte nur auf, wenn dies hart verlinkt sind. Aber dazu mach ich mal einen neuen Thread auf, da es hie rnicht mehr zum Thema passt.