[Linux] iptables

[Jonathan ROTH]

Pierre Dinh-van a écrit :

> iptables -N blacklist
> iptables -I INPUT -j blacklist
> IPS=$(grep -v '^#' /etc/firewall/blacklist|tr "\n" " ")
> for ip in $IPS; do
>  iptables -A blacklist -s $ip -j DROP
> done
>   
Et donc, au lieu d'avoir un smtp qui refoule un spammeur,
voyons grand, en moyenne 10 fois par jour,

le noyau va vérifier les règles, pour _chaque_ _paquet_...
...voyons petit, 100 fois par seconde, je ne suis pas sûr que ce soit meilleur,
surtout si la blacklist est longue...

A la limite, on pourrait ajouter au début :

iptables -I INPUT 1 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

Cela va éviter que les paquets des connexion déja établies,
et les connections relatives à celles déja établies ne soient vérifiées plus d'une fois,
du moins pour les connection "légitimes".

Sinon, t'as un logiciel qui s'appele moblock, qui permet justement de bloquer des IPs.
Il a été conçu à l'origine pour le P2P (blocage des plages d'IPs de la RIAA et cie),
et fonctionne très bien avec des blacklists très longues.

Moyennant quelques petites modifications, il devrait te permettre de blacklister
tes spammeurs sans trop alourdir ton serveur.