데비안에 IP 주소를 차단하는 프로그램이 있습니까? 일시적으로 명령 (IP 및 지속 시간 지정)을 실행하는 것만으로?
iptables / ip6tables 만 있으면 규칙을 만들 수 있지만 수동으로 삭제해야합니다. 또한 fail2ban을 사용하지만 fail2ban 규칙을 만족시키지 못한 임의의 IP 주소를 차단할 수 있다고는 생각하지 않습니다.
답변:
iptables가 IPset과 일치 할 수 있도록 ipset을 만들어야합니다. 노트 시간 초과 0 기본값은 절대 만료되지 않음을 의미합니다.
ipset create temp_hosts hash:ip timeout 0
iptables -I INPUT 1 -m set -j DROP --match-set temp_hosts src
iptables -I FORWARD 1 -m set -j DROP --match-set temp_hosts src
이제 세트가 만들어 졌으므로 IP 주소를 추가 할 수 있습니다 (시간 초과 단위 : 초).
ipset add temp_hosts 1.1.1.2 timeout 400
재부팅을 견디기 위해서는 이러한 규칙이 필요하므로 규칙을 저장하고로드해야합니다.
ipset save -f /path/ipset.save
ipset restore -f /path/ipset.save
이들은 cron이나 systemd로 자동화 될 수 있습니다.
Dan의 코멘트에서 영감을 얻어이 스크립트를 사용해보십시오.
#!/bin/bash
iptables -I INPUT -s $1 -j DROP
at ${2:-now+1hour} <<<"iptables -D INPUT -s $1 -j DROP"
다음과 같이 저장하십시오. /usr/local/sbin/blockip 실행하다 blockip 1.2.3.4 또는 blockip 1.2.3.4 now+2hours. 기본적으로 IP는 1 시간 동안 차단됩니다.
REJECT 구문을 선호하는 경우 DROP을 REJECT로 바꿀 수 있습니다.
at규칙 삭제 명령,echo "iptables -d rest_of_rule" | at now+30m