@ShadowTrix

Как заблокировать любой входящий трафик с сета IP адресов?

Начал применять nftables и захотелось с конфига Nginx перенести блокировку ~3000 адресов, для которых нужно полностью отбрасывать пакеты, не показывая признаков жизни даже по пингу.

В iptables это делалось так:
iptables -A INPUT -s 162.55.85.217 -j REJECT

В nftables добавил такую таблицу:
table ip filter {
    set blockips {
        type ipv4_addr
        flags interval
        elements = { 1.48.0.0/15, 1.50.0.0/16,
                1.68.0.0/14, 1.72.128.0/18 }
    }

    chain INPUT {
        type filter hook input priority filter; policy accept;
        ip saddr @blockips reject
    }
}


И далее по необходимости добавляю нужные адреса:
nft add element ip filter blockips { 192.42.116.175 }


Как считаете: все ли верно и будет ли блокировка работать?

Доп.вопрос: справляется ли nftables с таким большим сетом на 3к адресов, тормозов не будет?

Всем заранее спасибо за ответы и замечания.
  • Вопрос задан
  • 211 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы