URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 42837
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Использование таблиц для блокирования большого числа IP в pf или ipfw"
Отправлено auto_tips , 11-Июл-08 16:29

Список IP адресов или подсетей находится в файле /etc/block1.txt
Например:
  10.10.1.1
  10.10.1.2
  192.168.0.0/16

IPFW
----
Блок чтения IP в таблицу, проверка в которой будет осуществляться
не через последовательный перебор правил, а через выборки из хэша:

   ipfw table 1 flush
   cat /etc/block1.txt | while read ip; do
      # echo ipfw table 1 add $ip 1
      ipfw table 1 add $ip 1
   done
Привязка таблицы к правилу блокировки:
   ipfw add 100 deny ip from "table(1)" to any via em1
Просмотр содержимого таблицы:
   ipfw table 1 list
PF
--
/etc/pf.conf
   table <blockedips> persist file "/etc/block1.txt"
   ext_if="em1"
   block drop in log (all) quick on $ext_if from <blockedips> to any
Проверка корректности правил PF:
   pfctl -nf /etc/pf.conf
Чтение правил PF:
   pfctl -f /etc/pf.conf
Добавление и удаление адресов из таблицы на лету:
   pfctl -t blockedips -T add 192.168.1.1
   pfctl -t blockedips -T delete 192.168.1.1
Просмотр содержимого таблицы и более подробной статистики по каждому адресу:
   pfctl -t blockedips -T show
   pfctl -t blockedips -T show -v
Просмотр лога срабатываний блокировок, умолчанию сохраняемого в /var/log/pflog:
   tcpdump -n -e -ttt -r /var/log/pflog
   tcpdump -n -e -ttt -r /var/log/pflog port 80
   tcpdump -n -e -ttt -r /var/log/pflog and host 192.168.1.1
Срабатывание блокировок в режиме реального времени:
   tcpdump -n -e -ttt -i pflog0
   tcpdump -n -e -ttt -i pflog0 port 80
   tcpdump -n -e -ttt -i pflog0 host 192.168.1.1
URL: http://www.cyberciti.biz/faq/opebsd-pf-firewall-block-subnet.../
Обсуждается: http://www.opennet.me/tips/info/1715.shtml

Содержание

Использование таблиц для блокирования большого числа IP в pf или ipfw,zuborg, 16:29 , 11-Июл-08
Использование таблиц для блокирования большого числа IP в pf или ipfw,mummy, 18:41 , 11-Июл-08
Использование таблиц для блокирования большого числа IP в pf или ipfw,ыыыыыыыыыыыыыы, 23:05 , 12-Июл-08
- Использование таблиц для блокирования большого числа IP в pf...,mummy, 11:24 , 13-Июл-08
  - Использование таблиц для блокирования большого числа IP в pf...,zyx, 02:10 , 14-Июл-08
Использование таблиц для блокирования большого числа IP в pf или ipfw,dm, 16:26 , 17-Июл-08
А я делаю так (комментарии для тех, кому надо будет разбираться без ме,Дмитрий Ю. Карпов, 22:35 , 22-Июл-08
Что-то предыдущий пост побился; повторяю,Дмитрий Ю. Карпов, 22:36 , 22-Июл-08
Использование таблиц для блокирования большого числа IP в pf или ipfw,Murz, 16:31 , 14-Авг-08

Сообщения в этом обсуждении

"Использование таблиц для блокирования большого числа IP в pf или ipfw"
Отправлено zuborg , 11-Июл-08 16:29

cat /etc/block1.txt | xargs -n 1 ipfw table 1 add

"Использование таблиц для блокирования большого числа IP в pf или ipfw"
Отправлено mummy , 11-Июл-08 18:41

Брехня, быстрее так - создаём файл /tmp/block1.txt
table 1 add 10.10.1.1
table 1 add 10.10.1.2
table 1 add 192.168.0.0/16
Затем сначала делается проверка синтаксиса, если правилно, то применяется
/sbin/ipfw -qn /tmp/block1.txt && /sbin/ipfw -q /tmp/block1.txt

"Использование таблиц для блокирования большого числа IP в pf или ipfw"
Отправлено ыыыыыыыыыыыыыы , 12-Июл-08 23:05

to mummy:
если список ip не только для ipfw используецца? то зачем плодить "table 1 add "

"Использование таблиц для блокирования большого числа IP в pf..."
Отправлено mummy , 13-Июл-08 11:24

Быстрее создать временный файл и один раз вызвать /sbin/ipfw на 1000 адресов, чем 1000 раз вызывать /sbin/ipfw для каждого адреса. Ну почти в 1000 раз быстрее ;)
# Создаем временный файл /tmp/block1.txt на основе /etc/block1.txt
echo "table 1 flush" > /tmp/block1.txt
cat /etc/block1.txt | awk '{print "table 1 add",$1}' >> /tmp/block1.txt
# Проверяем правильность и тогда применяем правила из файла
/sbin/ipfw -qn /tmp/block1.txt && /sbin/ipfw -q /tmp/block1.txt
# Удаляем временный файл
rm -f /tmp/block1.txt

"Использование таблиц для блокирования большого числа IP в pf..."
Отправлено zyx , 14-Июл-08 02:10

Молодец!
Хорошо но не отлично - можно обойтись без временных файлов:
echo "table 1 list" | ipfw /dev/stdin

"Использование таблиц для блокирования большого числа IP в pf или ipfw"
Отправлено dm , 17-Июл-08 16:26

а есть еще и такая тема в pf, очень удобно:
block  quick from <badHosts>
pass in log quick on em0  proto tcp from any to <myIN> port 443 flags S/SA keep state \
                (source-track rule, max-src-conn-rate 100/10, overload <badHosts> flush global)
---man pf.conf---
   max-src-conn-rate <number> / <seconds>
           Limit the rate of new connections over a time interval.  The con-
           nection rate is an approximation calculated as a moving average.

"А я делаю так (комментарии для тех, кому надо будет разбираться без ме"
Отправлено Дмитрий Ю. Карпов , 22-Июл-08 22:35

${fwcmd} /dev/stdin <<_END_OF_RULESET_
# Разрешить общение через LoopBack (внутренний интерфейс) с любыми IP-номерами
add 100 pass all from any to any via lo0
# Запретить использование "127.*.*.*" как sourece и как destignation.
# Т.к. выше было разрешено общение через LoopBack, этот запрет фактически относится только ко внешним интерфейсам (к реальным сетевым картам, DialUp/VPN-соединениям и т.п.).
add 200 deny all from any to 127.0.0.0/8
add 210 deny all from 127.0.0.0/8 to any
...
# Очистить таблицу.
table 1 flush
# Создать таблицу для доступа наружу по тому же списку, что и Web-доступ:
#    взять программой awk файл /etc/block1.txt;
#    убрать из него комментарии: sub(/[;#].*/,"",$0);
#    если первый аргумент похож на IP-номер (цифры, разделённые точками)
#        то преобразовать его в команду "добавить в первую таблицу";
#    всё это попадает в контекст выполнения, т.к. заключено в ``.
`awk '{ sub(/[;#].*/,"",$0); if ( $1 ~ /[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/ ) print "table 1 add " $1 }' /etc/block1.txt`
...
# все оставшееся разрешено/запрещено
add 65000 allow/deny all from any to any
_END_OF_RULESET_

"Что-то предыдущий пост побился; повторяю"
Отправлено Дмитрий Ю. Карпов , 22-Июл-08 22:36

А я делаю так (комментарии для тех, кому надо будет разбираться без меня):
${fwcmd} /dev/stdin <<_END_OF_RULESET_
# Разрешить общение через LoopBack (внутренний интерфейс) с любыми IP-номерами
add 100 pass all from any to any via lo0
# Запретить использование "127.*.*.*" как sourece и как destignation.
# Т.к. выше было разрешено общение через LoopBack, этот запрет фактически относится только ко внешним интерфейсам (к реальным сетевым картам, DialUp/VPN-соединениям и т.п.).
add 200 deny all from any to 127.0.0.0/8
add 210 deny all from 127.0.0.0/8 to any
...
# Очистить таблицу.
table 1 flush
# Создать таблицу для доступа наружу по тому же списку, что и Web-доступ:
#    взять программой awk файл /etc/block1.txt;
#    убрать из него комментарии: sub(/[;#].*/,"",$0);
#    если первый аргумент похож на IP-номер (цифры, разделённые точками)
#        то преобразовать его в команду "добавить в первую таблицу";
#    всё это попадает в контекст выполнения, т.к. заключено в ``.
`awk '{ sub(/[;#].*/,"",$0); if ( $1 ~ /[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/ ) print "table 1 add " $1 }' /etc/block1.txt`
...
# все оставшееся разрешено/запрещено
add 65000 allow/deny all from any to any
_END_OF_RULESET_

"Использование таблиц для блокирования большого числа IP в pf или ipfw"
Отправлено Murz , 14-Авг-08 16:31

А как можно задать таблицу с кучей подсетей в iptables? Для каждой подсети своё правило?