Я добавил пару правил iptables, которые прошли нормально, но затем он продолжает дублировать другой список. На снимке видно, что это правило добавлено правильно: /sbin/iptables -I INPUT -s 174.122.18.122 -j DROP Но когда я пытаюсь ввести это правило: /sbin/iptables -I INPUT -s 117.0.0. Вместо этого был добавлен 0.0/4 -j DROP 112.0.0.0/4, который дублирует список того, что находится в строке 107. Здесь снимок Iptables Я могу добавить отдельные IP-адреса, но если я попытаюсь заблокировать IP-адрес, он отобразит этот дубликат 112.0.0.0/4, и тогда мне придется его удалить. Я не понимаю, в чем может быть проблема, буду признательна за любую помощь. Это сервер CentOS 6.4 (Final) с Plesk 11.0.9.
Как ввод iptables приводит к ошибке в его правиле при добавлении дублирующегося списка?
Ответы (1)
iptables просто стандартизирует нотацию CIDR от 117.0.0.0/4
до 112.0.0.0/4
очистив все биты IP-адреса, кроме четырех старших, что обозначено маской сети.
Это делается, поскольку значение оставшихся 28 бит не имеет значения при оценке того, соответствует ли рассматриваемое правило определенному пакету.
person
Yoel
schedule
14.04.2016
Итак, как я могу запретить блоку 117.0.0.0/4 пытаться войти на мой сервер с помощью iptables? Я попытался полностью удалить 112.0.0.0/4 и заменить его на 117.0.0.0/4, но это просто возвращает 112.0.0.0/4.
- person BreakThru; 15.04.2016
Сетевые блоки
117.0.0.0/4
и 112.0.0.0/4
эквивалентны.
- person Yoel; 15.04.2016
Спасибо, так как же тогда IP-адрес, такой как 117.192.81.44, все еще может предпринимать попытки взлома моего сервера?
- person BreakThru; 15.04.2016
Я понятия не имею, но вы можете добавить правило ведения журнала, чтобы убедиться, что входящие пакеты из этого диапазона IP-адресов действительно отбрасываются.
- person Yoel; 16.04.2016
Из логов видно, что 117.192.81.44 не сбрасывается, поэтому и задаю столько глупых вопросов. Прошу прощения за мою неосведомленность, но похоже, что блокировка 112.0.0.0/4 ничего не делает в отношении блокировки IP-адресов в 117.*.*.*, что на самом деле для меня важнее, чем 112. блокировать. Кто-нибудь знает, почему после удаления 112.0.0.0/4 из iptables и последующей попытки добавить 117.0.0.0/4 он возвращается к списку 112.0.0.0/4? Мне трудно уложить это в голове.
- person BreakThru; 16.04.2016
Неважно, и спасибо.... по какой-то причине я думал, что /4 покроет 16 777 216 IP-адресов, когда на самом деле это намного больше. Поэтому я удалил 112.0.0.0/4 и заменил его на 112.0.0.0/8, что позволило мне заблокировать то, что я действительно хотел; 110.0.0.0/8, 111.0.0.0/8, 112.0.0.0/8 и 114.0.0.0/8 по 125.0.0.0/8 . Спасибо еще раз!
- person BreakThru; 16.04.2016