Как найти ip адреса по маске в iptables linux?

Question

[Юлия Лис]

Подскажите пожалуйста, как можно найти ip адреса по маске в iptables?
к примеру нужен 192.168.*.*
Все кто относятся к нему?
Нужно с помощью grep собирать?

И второй вопрос, можно ли как то весь список посмотреть забанненых IP?

Comments

[AlexVWill]

Нужно с помощью grep собирать?

Да, можно хотя бы так
sudo iptables -L | grep REJECT
А лучше поставить UFW + Fail2Ban и работать через них, намного проще и удобнее, чем с iptables

[mureevms]

sudo iptables -L | grep -e REJECT -e DROP | grep 192.168

Answer 1

[CityCat4]

Взять и прочитать правила :) Прямого списка там может и не быть. Более того, я бы не стал там его держать, например. Есть такая штука - ipset, предназначен для хранения списков адресов, портов etc. И он очень часто работает в паре с iptables. Если используется ipset в самом правиле iptables никакого списка адресов не будет.

Вот например, как я блокирую RFC1918-адреса на входе с внешнего интерфейса (то есть там, где их теоретически быть не должно):
/etc/sysconfig/ipset

# RFC1918 networks
create rfc1918 hash:net family inet hashsize 1024 maxelem 65536 
add rfc1918 10.0.0.0/8
add rfc1918 172.16.0.0/12
add rfc1918 192.168.0.0/16

/etc/sysconfig/iptables
*mangle
# Mark packets, which BEFORE NAT have RFC1918-compliant addresses
-A PREROUTING -i eth1 -m set --match-set rfc1918 src -j MARK --set-mark 1
*filter
# Drop packets, which marked to drop in mangle table
-A FORWARD -m mark --mark 1 -j DROP

Comments

[Юлия Лис]

А если я хочу отключить фаервол временно? мне нужно остновить crowdsec? или надо остановить и iptables и ipset?

[CityCat4]

Юлия Лис, ipset можно не останавливать - сам по себе это просто справочник.

[Юлия Лис]

CityCat4, а iptables? я так поняла что это база с таблицами которая взаимодействует с crowdsec. Соответственно надо остановить crowdsec?

[CityCat4]

Юлия Лис, crowdsec - анализатор логов, зачем его останавливать? Трафиком управаляет iptables. Причем лучше не отключать его, а иметь небольшой списочек правил, который тупо разрешает все - фактически только три правила умолчания.

[Юлия Лис]

CityCat4, я честно запуталась.
crowdsec это анализатор логов. Далее iptables уже решает согласно правилам какой IP заблокировать а какой нет? а зачем IPSET тогда?
iptables - а где можно его найти настройки по умолчанию?

[CityCat4]

iptables - это файрволл, то есть нечто, что обрабатывает проходящий через сервер трафик. ipset - его вспомогательный справочник, нужный для упрощения работы - чтобы не писать в правилах громоздкие списки. А crowdsec - это просто анализатор логов, никакого отношения к iptables не имеющий, кроме того, что инжектит туда правила, блокирующие неких придурков. crowdsec вполне может сам составлять списки - ipset придумали для ручного администрирования iptables и других вещей.
Вообще настроек по умолчанию у iptables нет, но многие дистрибы поставляют некий "файл по умолчанию", который разрешает весь трафик. Например, вот такой:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth+ -j ACCEPT
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
COMMIT

Это характерный файл настроек для оконечного компьютера (не роутера!). Он фактически пропускает все (если имя сетевой карты eth0, eth1 и т.д. - если нет - исправить "eth+" на соответствующее.

Но мне кажется было бы лучше, если бы Вы задачу уже изложили :)

Answer 2

[Вадим]

Можно и grep собирать... Только надо учитывать что IP Tables 3 разных, надо по всем пройтись.
FILTER ( по умолчанию)
NAT
MANGLE

Забаненые IP будут иметь действие DROP
iptables -t filter -L -v -n | grep DROP

покажет все строчки с "забаненными" IP

Comments

[mureevms]

Зависит от того кто и как блокировал, поэтому надо грепать еще и REJECT

Answer 3

[Александр Фалалеев]

2.
iptables -L -n -v

Покажет вообще всё включая все забаненные IP