FAQ o OpenWrt | Sprzedam różne routery | Oddam

copernic_us · 2018-01-31 18:19:50

copernic_us
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-25
Posty: 54

Temat: Blokada zakresu IP na dany port

Siema,
Korzystam z Gargulca, jest wszystko cacy ale z racji tego że mam u siebie dość często odpalony serwer gry i jest on publiczny to zdarzają się osoby które lubią sobie pokrzyczeć w trakcie gry i zwyzywać każdego. Czy jest możliwość zablokowania zakresu/ów IP z których przychodzą dane połączenia tak żeby nie uświadczyć więcej danych użyszkodników na serwerze. Tak wiem że to drastyczne podejście do tematu ale kopanie ich non stop mija się z celem a chciałbym się takich ludzi pozbyć. Może jakiś system blac/whitelist?
Z góry dzięki za wszelkie sugestie

Cezary · 2018-01-31 18:22:22

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 115,890

Odp: Blokada zakresu IP na dany port

iptables -I INPUT -p tcp -s X.X.X.X --dport XX -j DROP
iptables -I INPUT -p udp -s X.X.X.X --dport XX -j DROP

ew zablokuj jeszcze forward. Do wpisania np. do /etc/firewall.user

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

copernic_us · 2018-02-01 20:36:35

copernic_us
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-25
Posty: 54

Odp: Blokada zakresu IP na dany port

Zakres w ten sposób też zablokuję jak się nie mylę?

Cezary · 2018-02-01 20:43:31

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 115,890

Odp: Blokada zakresu IP na dany port

Albo klasa w sensie -s x.x.x.x/24 albo zakres z użyciem -m iprange --src-range x-x

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

copernic_us · 2018-02-01 20:49:33

copernic_us
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-25
Posty: 54

Odp: Blokada zakresu IP na dany port

Ok no to działam Dzięki za podpowiedź

copernic_us · 2018-10-08 16:37:15

copernic_us
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-25
Posty: 54

Odp: Blokada zakresu IP na dany port

Trochę czasu minęło od założenia posta więc może to być odkopywanie umarlaka ale może Cezary pomożesz jeszcze w tej sprawie. Pogrzebałem w necie i znalazłem taki skrypt:

#!/bin/bash
# Purpose: Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code. #
# See url for more info - http://www.cyberciti.biz/faq/?p=3402
# Author: nixCraft <www.cyberciti.biz> under GPL v.2.0+
# -------------------------------------------------------------------------------
ISO="ru ua" 
 
### Set PATH ###
IPT=/usr/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep
 
### No editing below ###
SPAMLIST="countrydrop"
ZONEROOT="/root/iptables"
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"
 
cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}
 
# create a dir
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT
 
# clean old rules
cleanOldRules
 
# create a new iptables list
$IPT -N $SPAMLIST
 
for c  in $ISO
do 
    # local zone file
    tDB=$ZONEROOT/$c.zone
 
    # get fresh zone file
    $WGET -O $tDB $DLROOT/$c.zone
 
    # country specific log message
    SPAMDROPMSG="$c Country Drop"
 
    # get 
    BADIPS=$(egrep -v "^#|^$" $tDB)
    for ipblock in $BADIPS
    do
       $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
       $IPT -A $SPAMLIST -s $ipblock -j DROP
    done
done
 
# Drop everything 
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
 
# call your other iptable script
# /path/to/other/iptables.sh
 
exit 0

Moje pytanie czy dałoby się go dostosować do Gargoyle tak żeby nie wywalał całego IPTABLES które mam już ustawione. Może nie jest to rozwiązanie które podawałeś wcześniej ale wydaje mi się że byłoby lepsze niż dodawanie reguł do iptables (prawie 23k wpisów)

Cezary · 2018-10-08 16:46:02

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 115,890

Odp: Blokada zakresu IP na dany port

Przecież ten skrypt robi dokładnie to co napisałeś - dodaje ip po ip kolejno do iptables. Nic odkrywczego w nim nie ma.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

copernic_us · 2018-10-08 18:04:43

copernic_us
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-25
Posty: 54

Odp: Blokada zakresu IP na dany port

Ok ale czy bez zbędnych modyfikacji można go wrzucić na Gargoyle i odpalić. Chodzi mi o to czy mi dotychczasowych reguł nie skasuje tych dodawanych przez webgui? Do tego jaki to może mieć wpływ na obciążenie sprzętu, nie będzie mocno lagować dla innych użytkowników?

Cezary · 2018-10-08 18:09:03

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 115,890

Odp: Blokada zakresu IP na dany port

Nie, nie będzie działać. Przecież to czyści wszystko. A czym więcej reguł IP tym bardziej będzie zamulało cały ruch.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

copernic_us · 2018-10-08 18:32:23

copernic_us
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-25
Posty: 54

Odp: Blokada zakresu IP na dany port

Czyli gra nie warta świeczki jeśli chodzi o obciążenie routera i ogólną łatwość konfiguracji?

Cezary · 2018-10-08 18:37:19

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 115,890

Odp: Blokada zakresu IP na dany port

Źle to napisałeś. Jeżeli chcesz zablokować zakresy ip z jakiegoś kraju to przecież nie masz jak inaczej tego zrobić. (poza sprawdzeniem w usługach z jakiego kraju dane ip pochodzi). Więc to nie jest kwestia łatwości tylko tego czy musisz to zrobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Wally · 2018-10-09 15:45:24

Wally
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-21
Posty: 202

Odp: Blokada zakresu IP na dany port

Pozostaje ipset. Jedna reguła i mapa/set w pamięci. Adresy/podsieci dorzucasz do seta i to wszystko. Nie ma tysięcy reguł i masz pełną kontrolę nad blokowanymi adresami. Musisz tylko mieć miejsce na flasz na ipset-a i trochę wolnej pamięci.

Wally

m1ki · 2018-10-11 16:31:58

m1ki
Użytkownik
Nieaktywny

Zarejestrowany: 2015-02-06
Posty: 32

Odp: Blokada zakresu IP na dany port

...podczepię się żeby nie zakładać nowego tematu.
Jak za pomocą iptables całkowicie odciąć komputerowi w sieci domowej dostęp do wan?

Cezary · 2018-10-11 17:06:37

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 115,890

Odp: Blokada zakresu IP na dany port

Czytaj: http://eko.one.pl/?p=openwrt-blokady

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

FAQ o OpenWrt | Sprzedam różne routery | Oddam

Blokada zakresu IP na dany port

Posty: 14

1 Temat przez copernic_us 2018-01-31 18:19:50

Temat: Blokada zakresu IP na dany port

2 Odpowiedź przez Cezary 2018-01-31 18:22:22

Odp: Blokada zakresu IP na dany port

3 Odpowiedź przez copernic_us 2018-02-01 20:36:35

Odp: Blokada zakresu IP na dany port

4 Odpowiedź przez Cezary 2018-02-01 20:43:31

Odp: Blokada zakresu IP na dany port

5 Odpowiedź przez copernic_us 2018-02-01 20:49:33

Odp: Blokada zakresu IP na dany port

6 Odpowiedź przez copernic_us 2018-10-08 16:37:15

Odp: Blokada zakresu IP na dany port

7 Odpowiedź przez Cezary 2018-10-08 16:46:02

Odp: Blokada zakresu IP na dany port

8 Odpowiedź przez copernic_us 2018-10-08 18:04:43

Odp: Blokada zakresu IP na dany port

9 Odpowiedź przez Cezary 2018-10-08 18:09:03

Odp: Blokada zakresu IP na dany port

10 Odpowiedź przez copernic_us 2018-10-08 18:32:23

Odp: Blokada zakresu IP na dany port

11 Odpowiedź przez Cezary 2018-10-08 18:37:19

Odp: Blokada zakresu IP na dany port

12 Odpowiedź przez Wally 2018-10-09 15:45:24

Odp: Blokada zakresu IP na dany port

13 Odpowiedź przez m1ki 2018-10-11 16:31:58

Odp: Blokada zakresu IP na dany port

14 Odpowiedź przez Cezary 2018-10-11 17:06:37

Odp: Blokada zakresu IP na dany port

Posty: 14