В отдельном файле я создаю список блокируемых IP-адресов. IP-адреса этого файла будут добавляться или удаляться ежедневно. Я хочу "сослаться" на этот IP-файл в / etc / sysconfig / iptables, но я не уверен, возможно ли это. Если да, опишите, как это сделать (например: ExternalList = / var / tmp / myblacklist.txt) ???
Если этот тип ссылки невозможен в IPTABLES, что было бы хорошим сценарием для добавления записей из myblacklist.txt в iptables и удаления записей из iptables, которых больше нет в файле myblacklist.txt?
Я честно ищу простой сценарий bash, который может использовать sed. В противном случае, я думаю, что я буду склоняться к тому, чтобы помещать все IP-адреса, которые я хочу разрешить / блокировать, в таблицу MySQL и просто настраивать скрипт для ежедневной компиляции нового iptable. Таким образом, моды могут быть выполнены в базе данных sql, а iptables будет просто печатать все, что есть в базе данных. Но прежде чем я выберу этот вариант, могу ли я обойтись каким-нибудь простым скриптом на bash?
Вы должны исследовать использование модуля ipset для этого:
Просто добавьте все IP-адреса в набор, а затем настройте одно правило iptables, которое отбрасывает / отклоняет пакеты для этого набора.
Также легко управлять, поскольку вы можете легко добавлять, удалять и опорожнять набор и, как правило, изменять его «на лету» по мере необходимости.