服务器 Gind.cn
  1. 服务器 Gind.cn
  3. iptables阻止IP小时不工作?
Intereting Posts
将TFS 2010应用程序服务器移到TFS数据库服务器中 DPM 2007可以备份虚拟化域控制器吗? Apache ProxyPass排除。 不要代理404地址 nginx + fastcgi 启用MPM Worker时出错 个人电脑更换时间表 SQL Serverencryption – 旋转PCI符合性的密钥 我映射的networking驱动器不断inputWin Server 2008共享的密码 我可以与我的路由器创buildnetworking冲突吗? Linux每天,每周和每月的networking使用情况 如何在我的系统上重新安装PHP? pcapstream旋转和修剪 在nginx上模拟502&504 将htaccess rewritecond转换为nginx 思科交换机路由性能监控

iptables阻止IP小时不工作?

在我的Linux服务器上,我想禁止使用IPtables访问特定端口24小时的IP。 为此,我使用以下IPtables规则: 

# Check if IP is on banlist, if yes then drop -A INPUT -m state --state NEW -j bancheck -A bancheck -m recent --name blacklist --rcheck --reap --seconds 86400 -j LOG --log-prefix "IPT blacklist_ban: " -A bancheck -m recent --name blacklist --rcheck --reap --seconds 86400 -j DROP # PUT IPs on banlist -A banlist -m recent --set --name blacklist -j LOG --log-prefix "IPT add_IP_to_blacklist: " -A banlist -j DROP # Ban access to these ports -A INPUT -p tcp -m multiport --dports 23,25,445,1433,2323,3389,4899,5900 -j LOG --log-prefix "IPT syn_naughty_ports: " -A INPUT -p tcp -m multiport --dports 23,25,445,1433,2323,3389,4899,5900 -j banlist

在日志中,我可以validation这个工作: 

 Mar 13 02:12:23 kernel: [39534099.648488] IPT syn_naughty_ports: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=... LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=29768 DF PROTO=TCP SPT=65315 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Mar 13 02:12:23 kernel: [39534099.648519] IPT add_IP_to_blacklist: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=...4 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=29768 DF PROTO=TCP SPT=65315 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Mar 13 02:12:26 kernel: [39534102.664136] IPT blacklist_ban: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=... LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=4724 DF PROTO=TCP SPT=65315 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Mar 13 02:12:32 kernel: [39534108.666602] IPT blacklist_ban: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=... LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=20826 DF PROTO=TCP SPT=65315 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0

但是日志还显示,仅仅2个多小时后,同样的IP再次访问我的系统。 而不是通过链接“bancheck”在开始时被阻止,IP可以访问该端口,这导致它被再次置于“禁止列表”(目的端口在两个情况下是相同的端口25)。 

 Mar 13 04:35:59 kernel: [39542718.875859] IPT syn_naughty_ports: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=... LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=4533 DF PROTO=TCP SPT=57719 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Mar 13 04:35:59 kernel: [39542718.875890] IPT add_IP_to_blacklist: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=... LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=4533 DF PROTO=TCP SPT=57719 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Mar 13 04:36:02 kernel: [39542721.880524] IPT blacklist_ban: IN=eth0 OUT= MAC=... DST=... LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=12505 DF PROTO=TCP SPT=57719 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Mar 13 04:36:08 kernel: [39542727.882973] IPT blacklist_ban: IN=eth0 OUT= MAC=... SRC=218.189.140.2 DST=... LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=29092 DF PROTO=TCP SPT=57719 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0

但是,如果我理解了IPtables规则,那么只要在24小时之内,它就应该在前几行被阻止,并且不能在IPtables规则集中find那么远的地方违反港口规定,再次提出“禁令”。

我做错了什么,还是我误解规则的工作方式?