Iptables kerdes

Ez nem tisztán világos. Milyen irányba akarod a forgalmat tiltani?

Ez nem tisztán világos. Milyen irányba akarod a forgalmat tiltani?

Ilyesmihez sztem, nem elég csak az iptables, hanem kell valami hátsó progi (mondjuk script), ami figyeli, hogy az adott címre van-e forgalom, azt ha nincs, akkor mennyi ideje nincs. És ha túllépi az x percet, akkor beszúrja a címet DROP-ra az adott szűrési feltételek közé.

Az iptables ilyen komplex dolgokat sztem nem tud. Vagy csak én vagyok maradi és már rég kijött valami új verzió, ami már a kávét is az ágyba hozza reggel.
:)

elso korben bennem az merulne fel, hogy hasznalnam az ULOG-ot, hogy ne a syslog-ba hannya bele a logot, hanem egy kulon fileba

aztan futna cron-bol egy program ami meg x idokozonkent atnyalazza file, hogy melyik ip-nek mikor volt az utolso forgalma

aztan beszur egy
[code:1:ab40d91740]iptables -I FORWARD -s IPCIM -j DROP[/code:1:ab40d91740]szabalyt

[quote:d34703e964="Jonci"]elso korben bennem az merulne fel, hogy hasznalnam az ULOG-ot, hogy ne a syslog-ba hannya bele a logot, hanem egy kulon fileba

aztan futna cron-bol egy program ami meg x idokozonkent atnyalazza file, hogy melyik ip-nek mikor volt az utolso forgalma

aztan beszur egy
[code:1:d34703e964]iptables -I FORWARD -s IPCIM -j DROP[/code:1:d34703e964]szabalyt

Ja ez jó megoldás.
Scriptnek a Perlt ajánlom. Könnyebben meg lehet vele csinálni text-file-ok szűrését, mint Bash-ben awk és sed barátjával.
Bár a sysloggal nincs gond sztem. Meg lehet neki modnani mit, milyen file-ba pakoljon.

csak arra figyelj, hogy

-I FORWARD

utan kell egy szam, hogy hanyadik helyre szurja be a szabalyt.

tartottam egy kis szunetet, aztan osszedobtam egy kis scriptet neked. szepseghibaja, hogy nem figyeli az evet, honapot, napot, de gondolom nem szoktatok ejfel korul dolgozni, igy nincs is nagy szukseg azok figyelesere. elmenti a tiltott ip-ket, hogy ne tiltson egyet tobbszor, igy kis modositassal akar azt is elmentheti, hogy mikor volt a tiltas idopontja, stb stb stb
[code:1:25ab5488a9]#!/usr/bin/perl
my ( $s, $m, $h, $x, $x, $x, $x, $x, $x ) = localtime () ;
$s += ( ( $h * 60 ) + $m ) * 60;
undef ( $x );
undef ( $h );
undef ( $m );

my %adatok;

open ( FILE, "/var/log/ulog/ulog" );
while ( <FILE> ) {
chomp;
my @sor = split ( /\ / );
my @a = split ( /\=/, $sor[9] );
my @b = split ( /\:/, $sor[2] );
$adatok { "$a[1]" } = ( ( $b[0] * 60 ) + $b[1] ) * 60 + $b[2];
}
close ( FILE );

open ( FILE, "/root/tiltott_ipk" );
my $x;
my @tiltott_ipk;
while ( <FILE> ) {
$tiltott_ipk[$x] = $_;
$x++;
}
undef ( $x );
close ( FILE );

while ( my ( $key, $value ) = each %adatok ) {
my $a;
if ( $s - $value > 1800 ) {
$a = 0;
foreach (@tiltott_ipk) {
if ( $_ == $key ) {
$a++;
last;
}
}
unless ( $a ) {
open ( FILE, ">>/root/tiltott_ipk" ) ;
print FILE "$key\n";
close ( FILE );
system "iptables -I FORWARD -s $key -j DROP";
}
}
}[/code:1:25ab5488a9]

[quote:37a245cc58="FoREE"]csak arra figyelj, hogy

-I FORWARD

utan kell egy szam, hogy hanyadik helyre szurja be a szabalyt.

a szam csak opcionalis, ha nem adod meg, akkor a legelso szabalynak szurja be

na ezt nem tudtam...

majd kiprobalom h tenyleg ugy van-e :)

tenyleg ugy van
hidd el, nem irtam at magamnak az iptables-t ;)

julius vegen lehet arra jarok megnezni a Csardas kiralynot :)