Làm cách nào để chặn các địa chỉ IP lạm dụng với pf trong OpenBSD?

Chúng ta có thể thấy từ nhật ký nginx rằng có một địa chỉ IP đang làm những điều khó chịu.

Làm thế nào chúng ta có thể chặn nó bằng một pflệnh và sau đó vĩnh viễn với /etc/pf.log? Làm thế nào chúng ta có thể chặn một x.x.x.x/24IP cho? Đây là ví dụ: 1.2.3.4

CẬP NHẬT: không, có vẻ như OpenBSD không có tệp cho phép / từ chối trong / etc. Và AFAIK lời khuyên tốt nhất để chặn các địa chỉ IP lạm dụng đang sử dụng pf.

# cd /etc 
# ls -la|egrep -i 'deny|allow'
# uname -a
OpenBSD foo.com 5.4 GENERIC.MP#0 amd64
# 

Cách tốt nhất để làm điều này là xác định bảng và tạo quy tắc để chặn máy chủ, trong pf.conf:

table <badhosts> persist
block on fxp0 from <badhosts> to any

Và sau đó tự động thêm / xóa địa chỉ IP khỏi nó:

$ pfctl -t badhosts -T add 1.2.3.4
$ pfctl -t badhosts -T delete 1.2.3.4

Các lệnh 'bảng' khác bao gồm flush(xóa tất cả) replacevà show. Xem man pfctlđể biết thêm.

Nếu bạn muốn một danh sách lâu dài hơn, bạn có thể giữ nó trong một (hoặc nhiều) tệp. Trong pf.conf:

table <badhosts> persist file "/etc/badguys1" file "/etc/badguys2"
block on fxp0 from <badhosts> to any

Bạn cũng có thể thêm tên máy chủ thay vì địa chỉ IP. Xem phần "Bảng" của man pf.confvà man pfctl.

Lưu ý : Các ví dụ trên giả định rằng giao diện truy cập internet là fxp0, vui lòng thay đổi theo thiết lập của bạn. Ngoài ra, hãy nhớ rằng các quy tắc trong pf.confđược đánh giá tuần tự và cho blockhoặc passquy tắc quy tắc phù hợp cuối cùng áp dụng. Với quy tắc này

table <badhosts> persist
block on fxp0 from <badhosts> to any
pass inet tcp from 192.168.0.0/24 to any port 80

và sau khi thêm 1.2.3.4 và 192.168.0.10 vào badhostsbảng

$ pfctl -t badhosts -T add 1.2.3.4
$ pfctl -t badhosts -T add 192.168.0.10

tất cả lưu lượng truy cập từ 1.2.3.4 và 192.168.0.10 sẽ bị chặn nhưng máy chủ thứ hai sẽ có thể thực hiện kết nối với cổng 80 của các máy khác vì passquy tắc khớp và ghi đè blockquy tắc.

Không rõ ràng từ các câu trả lời khác mà bạn cần để tạo một bảng thực tế của các badhost mà bạn đang cố gắng chặn.

Điều này có trong tệp pf.conf, ví dụ: tôi có hai tệp badguys, 1 & 2 badguys1 dành cho những người đến và đi, và badguys2 dành cho danh sách đen vĩnh viễn.

Vì vậy, nếu bạn cần thêm một ip của ai đó gây phiền toái trong một khoảng thời gian, hãy thêm họ vào badguys1.

Bây giờ, trong tệp pf.conf của bạn, bạn có cái này. Trong ví dụ của tôi, tôi sử dụng en1, vì đó là giao diện WiFi của tôi. Đặt giao diện đó thành giao diện mạng của bạn.

table <badhosts> persist file "/etc/badguys1" file "/etc/badguys2"
block on en1 from <badhosts> to any

Bây giờ bạn có thể thêm địa chỉ tạm thời vào badguys1. (KHÔNG phải badhost, đó là tên của các bảng)

sudo pfctl -t badguys1 -T add 185.130.5.160

1 table created.
1/1 addresses added.

Mặc dù nó nói 1 bảng được tạo - nó thực sự thêm ip, không tạo bảng mới. Bây giờ nếu bạn nhìn vào badguys1, bạn sẽ thấy IP mới.

sudo pfctl -t badhosts -T show

Tôi đã nhận được thông tin này từ trang web và tha thứ cho tôi về kiến ​​thức không tốt của tôi OpenBSD, nhưng ở đây nó đi. Hãy xem URL này . Theo đó, nó tuyên bố chặn một IP bạn sẽ:

echo '123.123.123.123' >> /etc/pf.blocked.ip.conf

Sau đó, bạn sẽ khởi động lại tường lửa:

pfctl -d
pfctl -e -f /etc/pf.conf

Hoặc, để thêm mà không cần khởi động lại loại tường lửa:

pfctl -t blockedips -T add 111.222.333.444

Bây giờ để kiểm tra nếu nó đã được thêm loại:

pfctl -t blockedips -T show

Cập nhật: Có lẽ điều này sẽ giúp.

• Mở tệp sau trong vi:

  vi /etc/pf.conf

• Thêm dòng mã sau:

  table <blockedips> persist file "/etc/pf.blocked.ip.conf" ext_if="bge0" # interface connected to internet

• Sau thời điểm đó, tôi sẽ thử khởi động lại tường lửa và xác nhận rằng IP bị chặn bằng cách gõ:

  pfctl -d
  pfctl -e -f /etc/pf.conf
  pfctl -t blockedips -T show