내 iptables 설정 (라우팅, ssh bans 등)에 대한 많은 규칙이 있습니다. 또한 http://blacklist.linuxadmin.org 에서 IP를 차단할 목록을 선택하여 실제로는 복잡해졌습니다.
내가 /etc/sysconfig/iptables정말 깁니다. 외부 파일의 규칙을 포함시켜 규칙을 관리하는 방법이 있습니까?
예를 들면 다음과 같습니다.
#include "pre_routing_rules"
#include "ssh_bans"
여기에는 "pre_routing_rules"및 "ssh_bans"파일에 추가 된 규칙이 포함됩니다. 이렇게하면에서에서 찾지 않고도 규칙을 쉽게 관리 할 수 있습니다 cat /etc/sysconfig/iptables.
답변:
iptables 'ipsets 시도하십시오 . ipsets는 개별적으로 구성되며 관리 할 IP 주소가 충분하면 더 빠릅니다.
iptables 규칙은 다음과 같이 ipset을 참조 할 수 있습니다.
iptables-앞으로 -m set --set 차단 목록 src, dst -j DROP
간단한 해결책 중 하나는 다음과 같이 각 섹션마다 여러 개의 bash 스크립트를 사용하는 것입니다.
iptables-routing.sh
iptables-ssh-bans.sh
iptables-blacklist.sh
그리고 마스터 스크립트에서이 파일을 실행하십시오.
iptables는 파일을 직접 읽지 않습니다. 즉 iptables-restore라는 프로그램에 의해 수행됩니다. 이것은 일반적으로 init 스크립트 중 하나에서 호출됩니다.
iptables-restore 라인에 추가 입력 파일을 추가 할 수 있습니다. 이 라인이 시스템에서 어디에 있는지 찾아야하지만 Debain 상자에서 /etc/init.d/nat에 있습니다.
줄은 현재 다음과 같습니다.
/sbin/iptables-restore < /etc/network/iptables
아마도 다음과 같이 바꿀 수 있습니다.
cat /etc/network/iptables \
/etc/network/pre_routing_tables \
/etc/network/ssh_bans | /sbin/iptables-restore
Firestarter 또는 Shorewall과 같은 많은 최첨단 방화벽 스크립트 / 도구 중 하나를 사용하는 경향이 있습니다. 파일마다 목적에 따라 분리되어 있으며 특정 유형의 가짜 패킷으로부터 보호하기 위해 흥미로운 규칙을 추가하며 일반적으로 작동합니다. 잘.