IP- Adressen mit ipset & iptables effektiv blocken

Es ist sicherlich nichts neues, dass Script Kiddies etc. wahlos Portscanns durchführen und die Anzahl der Cyberangriffe gestiegen ist. Wie kann man sich zusätzlich zu den bekannten Maßnahmen, z.B. iptables Firewall, IDS/IPS schützen? Mit IP Blocklisten.

Anwenden von IP- Blocklisten mit ipset & iptables

Je nach Umfang der IP Listen liegt die Vermutung nahe, dass sie einen negativen Einfluss auf die Performance der Firewall haben könnten.

Hier hilft die Netfiltererweiterung ipset. Mit ipset können sehr viele Zuordnungen, z.B. ein Port zu einer IP-Adresse o. eine MAC- Adresse zu einer bestimmten IP Adresse etc., effektiv zusammengefasst werden, die der Linux Kernel ohne großen Aufwand verwalten bzw. hand haben kann.

Dies ermöglicht uns die IP´s mit ipset zusammenfassen und anschließend mit nur einer iptables Regel verwerfen.

ipset und iptables Regel anlegen

ipset create ipblock hash:net
ipset add ipblock 151.5.1.6
ipset add ipblock 150.6.1.5 ... ... 
iptables -A INPUT -m set --match-set ipblock src -j DROP

Vorsicht: Wenn eure IP in einer IP Blocklist aufgelistet ist sperrt man sich selbst aus.

IP- Blocklisten:

« Samba 3.6 Pakete für Ubuntu Lucid bauen DNS-Server Bind konfigurieren »