netzaffe: IP-Sperre ermitteln

Hallo,

ich benutze auf meinem Wenserver iptables. Die Dropliste ist inzwischen ziemlich lang.

Gibt es ein Tool oder eine Option für iptables, um eine weitere IPv4 gegen die Liste zu prüfen, um festzustellen, ob die neue schon gesperrt ist?

Da sind einige einzelne eingetragen, aber auch viele Ranges mit CIDR-Suffix erheblich kleiner als 32.

Freue mich auf Tipps
Netzaffe

  1. Ich hab sowas mal gemacht. Allerdings in PHP.

    BITTE auch die WARNUNG lesen:

    „Ich warne ausdrücklich vor einer unbedarften Anwendung dieser Skripte/Programme (fwlist.sh, fwlist.c) durch Personen, welche nicht vollständig wissen was diese da tun. Eine unbedachte Falschanwendung kann und wird die Sicherheit Ihres Servers bzw. Rechners extrem beeinträchtigen, weil eine unbeabsichtigte Rechteausweitung eintreten kann.“

    https://code.fastix.org/Projekte/PHP%3Acheck_blocked_ip/

    Die Quelltexte und die Beschreibung zeigen wie es geht, Du kannst das auch teilweise übernehmen.

    Andererseits ist das eigentlich ziemlich trivialer Kram…

    1. Hi,

      schon mal danke. Ich schaus mir an.
      Wichtig ist, dass die Ranges zum Vergleich aufgelöst werden.

      Wie man mit grep eine einzelne Sperre ###.###.###.###/32 findet, war mir schon klar, aber darüber gibt es hunderte von Beiträgen im Netz.

      Viele Grüße
      Netzaffe

      1. Wichtig ist, dass die Ranges zum Vergleich aufgelöst werden.

        Das geschieht in den beiden PHP-Skripten. Wenn Du eine andere (Skript-)Sprache wählst brauchst Du halt Funktionen, mit welchen Du die Netzwerk-Adresse (kleinste IP) und die Brodcast-Adresse für den Netzerkbereich in Dezimalzahlen umrechnen und dann mit der ebenfalls umgewandelten IP-Adresse vergleichen kannst.

        Ansonste enthält die Toolbox alles notwendige, damit der Vergleich auch für einen Benutzer ohne Root-Rechte funktioniert.

        Wenn Dir (in der isBlockedAPI.php) nicht gefällt, dass die Liste der gesperrten Adressen gespeichert wird, dann machs wie in der check_blocked_ip.php und frag iptables frisch ab. Bei mir ist die gespeicherte Datei sowieso für andere Zwecke vorhanden und der Zugriff auf die Datei ist schneller als der Export aus dem Kernelspace.