존재하다iptables-extensions(8)모듈은 setIP의 존재 또는 부재에 반응할 수 있거나 보다 일반적으로는 IP 세트의 일치에 반응할 수 있는 것으로 설명 및 논의됩니다.
그러나 규칙을 사용하여 항목을 IP 세트에 동적으로 연결하는 방법은 없는 것 같습니다 iptables.
아이디어는 이 recent모듈을 사용하면 계속 시도하는 특정 IP를 일시적으로 블랙리스트에 추가하고 이를 IP 세트에 추가할 수 있다는 것입니다(더 빠를 수 있음). 이는 그러한 경우 통과해야 하는 규칙이 적고 IP 세트와의 일치가 더 빠르다는 것을 의미합니다.
답변1
그것은 밝혀예아마도 다음 SET에 설명된 목표를 사용하십시오.iptables-extensions(8).
SET
This module adds and/or deletes entries from IP sets which can be defined by ipset(8).
--add-set setname flag[,flag...]
add the address(es)/port(s) of the packet to the set
--del-set setname flag[,flag...]
delete the address(es)/port(s) of the packet from the set
where flag(s) are src and/or dst specifications and there can be no more
than six of them.
--timeout value
when adding an entry, the timeout value to use instead of the default one
from the set definition
--exist
when adding an entry if it already exists, reset the timeout value to
the specified one or to the default from the set definition
Use of -j SET requires that ipset kernel support is provided, which, for standard
kernels, is the case since Linux 2.6.39.
모듈 설명을 찾은 후 더 이상 검색을 하지 않아서 못 찾았습니다 set.
답변2
아니요, iptables/netfilter는 ipset 목록에서 작동할 수 없습니다.
iptables의 일치하는 확장은 setipset 목록의 읽기 전용 보기입니다. 이 목록은 명령을 통해서만 조작할 수 있습니다 ipset.
달성하려는 작업을 수행하는 가장 좋은 방법은 다음 log과 함께 iptables 확장을 사용하는 것입니다.실패 2 금지.
Iptables는 누군가가 귀하의 정책을 위반할 때마다 기록하도록 구성되며, 정책을 X번 위반하면 Fail2ban은 해당 호스트를 블랙리스트에 추가합니다.