这是一个创建于 267 天前的主题,其中的信息可能已经有所发展或是发生改变。
前几天在自己服务器上无意间翻查 btmp 日志发现不少频繁尝试登录失败的日志,看 ip 大多数境外,于是把收藏了的 geoip 干货拿出来“学习了一下”,成功 DROP 了大部分境外请求。可观察了几天还是会有少量的境内 ip 或漏网的境外 ip 扫过来,于是干脆加一个自己手动添加的 ip 库。
但我发现每次更新 ip 库后,新添加上去的 ip 依然无拦截到,除非我在 iptables 删除库对应的规则再写入。对于 geoip 这种读数据库的模块,是不是有什么正确姿势让 iptables 重新去加载数据库?
(另外也想问问,为何仍有境内 ip 扫描境内服务器?同一个 ip 基本是每分钟两三个尝试登录,然后每天大概有两三个这个的 ip ,封了后第二天又有另外的两三个新的 ip ,如此持续并重复。需要对这种境内 ip 反手一个举报?)
但我发现每次更新 ip 库后,新添加上去的 ip 依然无拦截到,除非我在 iptables 删除库对应的规则再写入。对于 geoip 这种读数据库的模块,是不是有什么正确姿势让 iptables 重新去加载数据库?
(另外也想问问,为何仍有境内 ip 扫描境内服务器?同一个 ip 基本是每分钟两三个尝试登录,然后每天大概有两三个这个的 ip ,封了后第二天又有另外的两三个新的 ip ,如此持续并重复。需要对这种境内 ip 反手一个举报?)
 |
1
julyclyde 267 天前
猜测需要 rmmod 再重新 insmod ?
rmmod 之前应该还需要先删除规则? |
 |
2
beyondstars 267 天前  1
不知道你有没有配合 ipset 使用 iptables: https://man.archlinux.org/man/ipset.8
|
 |
3
ShuA1 267 天前
你可以尝试直接使用这个项目
https://github.com/dushixiang/meteor |
 |
4
iSecret 267 天前
为啥不用 fail2ban?
|
 |
5
proxytoworld 267 天前
境内肉鸡很正常
|
 |
6
Levox 267 天前 1
我的也天天被扫。可以看看这个,http://blackip.ustc.edu.cn/ ,感觉扫的 IP 差不多。
|
 |
7
raysonlu OP geoip 模块这个貌似感觉无解了,目前只发现删除重写 iptables 规则有效,配合 maxmind 库用来拦境外吧。
ipset 模块确实可以动态新增,但有的文章说删除还是需要重写 iptables 规则,境内就根据 blackip 库配合 ipset 模块吧。 观察一段时间,还是天天有新被扫,再搞 fail2ban 吧,真想不明国内的实名制网络环境优势还没发挥应用作用。 |
 |
8
tomychen 266 天前
重启一下 iptables 服务呢
|
 |
9
vcn8yjOogEL 262 天前
大批量更新就是更新 set 数据然后重新配置一遍, nftables 还支持无缝重载
|
|
10
raysonlu OP @vcn8yjOogEL iptables 服务重启是可以,但如果能像 ipset 增删自动更新,或给个针对 geoip 模块的重载那就最好不过了。
|
|
11
vcn8yjOogEL 260 天前
@raysonlu #10 可以单独重载特定 set; 建议重载主要还是简单, 你非要做 diff 也不是不行, 生成数据后用 ipset del 和 add 即可
|
Select Language