Automatizar iptables

heze54 20 septiembre 2008 23:52

⋮

Buenas, necesito desde un fichero que contiene ips en el formato 58.147.128.0/19, automatizar la insercion para bloquearlas con iptables.

He recuperado de internet el script que adjunto abajo... la cuestion es que funciona siempre y cuando solo haya una ip, ya que si hay mas se produce este error:

./iptablesBLOCK
' specified.4.1: invalid mask `19
Try `iptables -h' or 'iptables --help' for more information

¿Que falla?

Un saludo y gracias

 #! /bin/sh -e

 if [ -f bad.txt ]

 then

 for BAD_IP in `cat bad.txt`

 do

 iptables -A INPUT -s $BAD_IP -j DROP

 done

 else

 echo "Can't read bad.txt"

 fi

BocaDePez 21 septiembre 2008 08:31

⋮

El error no es culpa del script, sino de que la ip que le pasas no es válida para designar una red con 19 bits dedicados al identificarla.

✖

heze54 21 septiembre 2008 09:17

⋮

Buenas,

Las ips y rangos los saco de esta pagina www.countryipblocks.net/

asqwerty 21 septiembre 2008 12:08

⋮

Pues no. Eso es una 19. a proposito, a mi si me funciona:

# iptables -A INPUT -s 58.147.128.0/19 -j DROP

# iptables -L

...

DROP all -- 0-128.io-global.com/19 anywhere

...

¿Puede que le este escapando el "/"? ¿Habra probado hacerlo a mano?

✖

heze54 21 septiembre 2008 12:11

⋮

Si, si lo metes a pelo si que funciona, pero claro... estoy hablando de un fichero que tiene cientos de ips-rangos jajaja.

Si quieres te doy un par de rangos y pruebas a automatizarlo ok?

58.147.128.0/19
117.55.192.0/20
117.104.224.0/21
119.59.80.0/21

Un saludo

✖

asqwerty 21 septiembre 2008 12:16

⋮

Pues a mi el script me funciona perfectamente:

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

# cat prueba.sh
#! /bin/sh -e

if [ -f bad.txt ]

then

for BAD_IP in `cat bad.txt`

iptables -A INPUT -s $BAD_IP -j DROP

done

else

echo "Can't read bad.txt"

# ./prueba.sh

#iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
DROP all -- 0-128.io-global.com/19 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

No entiendo porque a ti no. Mira ver los modulos

# lsmod | grep ipt
ipt_REJECT 6656 2
iptable_filter 6528 1
ip_tables 13840 1 iptable_filter
x_tables 15236 6 ipt_REJECT,ip_tables,ip6t_REJECT,xt_tcpudp,xt_state,ip6_tables

Los ip6 no te hacen falta claro

✖

heze54 21 septiembre 2008 12:21

⋮

✖

asqwerty 21 septiembre 2008 12:27

⋮

✖

heze54 21 septiembre 2008 12:31

⋮

✖

asqwerty 21 septiembre 2008 12:35

⋮

✖

asqwerty 21 septiembre 2008 12:52

⋮

heze54 21 septiembre 2008 13:05

⋮

heze54 22 septiembre 2008 21:26

⋮

✖

asqwerty 24 septiembre 2008 19:23

⋮

✖

heze54 24 septiembre 2008 20:46

⋮

heze54 21 septiembre 2008 14:31

⋮

asqwerty 21 septiembre 2008 12:22

⋮

✖

heze54 21 septiembre 2008 12:33

⋮