Как заблокировать ботов в iptables?

Question

[elfukado]

Доброго времени суток!
Раньше как-то делал настройки таблицы input в iptables по такому принципу:
1. drop для всех, кто попал в список;
2. accept правила;
3. добавление всех остальных в список.
Подскажите, пожалуйста, правильно ли я вспомнил, без постоянной практики забывается.

*filter
:INPUT ACCEPT [0:0]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m recent --name BLOCK --rcheck --seconds 100000 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m recent --name BLOCK --set -j DROP

Сервис непубличный и временный, так что попадание в список ip, который будет один для бота и для человека за nat, некритично.

Answer 1

[hint000]

-m state --state RELATED,ESTABLISHED
-m conntrack --ctstate RELATED,ESTABLISHED

-m recent --name BLOCK --rcheck --seconds 100000
-m recent --name BLOCK --rcheck --seconds 100000 --hitcount 1
(не уверен, что это правильно работает без --hitcount, но, может быть и работает)

Comments

[elfukado]

Спасибо за поправки.
А не подскажете ещё как посмотреть список заблокированных?
Уже нашёл: /proc/net/xt_recent/BLOCK
И ещё опция --reap для их очистки.

[elfukado]

Закончил, в итоге, с таким вариантом с использованием ipset, так как у /proc/net/xt_recent/* ограничение в 100 адресов и менять его не рекомендуется, а у меня по несколько тысяч накапливается:

*filter
:INPUT ACCEPT [0:0]

# accept established, related
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# accept trusted ips
-A INPUT -s 12.34.56.78/32 -i eth0 -j ACCEPT

# drop invalid, untracked
-A INPUT -i eth0 -m state --state INVALID,UNTRACKED -j DROP

# drop from banned list
-A INPUT -i eth0 -m set --match-set banned src -j DROP

# accept service ports
# http
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
# https
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT

# add others to ipset list
-A INPUT -i eth0 -m state --state NEW -m recent --set --name BANNED --mask 255.255.255.255 --rsource -j SET --add-set banned src

# drop others
-A INPUT -i eth0 -j DROP

COMMIT