Tuesday, March 6, 2012

Dùng iptables để band IP

Liệt kê tất cả các IP đang band
/etc/init.d/iptables status

- Band một IP
iptables -A INPUT -s 123.42.168.250 -j DROP
iptables -A OUTPUT -p tcp -d 123.42.168.250 -j DROP


Lệnh trên để band IP tức thời thôi, khi restart lại service iptables, thì tất cả các IP đã band sẽ mất
Nếu muốn không mất ta phải save nó lại
 
/etc/init.d/iptables save


[root@ns ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
2    DROP       all  --  112.213.95.11       0.0.0.0/0          
3    DROP       all  --  123.42.168.250       0.0.0.0/0          

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    DROP       tcp  --  0.0.0.0/0            112.213.95.11     
2    DROP       tcp  --  0.0.0.0/0            123.42.168.250     


Để remove IP đã band, ta phải xác định IP band đang ở num mấy

[root@ns ~]# iptables -D INPUT 2
[root@ns ~]# iptables -D OUTPUT 1


Các lệnh view log
iptables -L INPUT -v -n --line-numbers
iptables -L OUTPUT -v -n --line-numbers


Có thể dùng lệnh sau để drop
iptables -D INPUT -s 113.161.207.117 -j DROPNo comments: