"La question est: comment lister les adresses IP bloquées?"
Créez une chaîne bannie:
iptables -N BANNED
iptables -F BANNED
Créez une chaîne de journalisation:
iptables -N BANNEDLOG
iptables -F BANNEDLOG
iptables -A BANNEDLOG -j LOG --log-prefix "BANNED:" --log-level 6
iptables -A BANNEDLOG -j DROP
Ajouter un saut à la chaîne interdite dans la chaîne INPUT avant la plupart des autres règles
...
iptables -A INPUT -j BANNED
...
Ajoutez maintenant des adresses IP à la chaîne interdite:
flock -w 5 /var/lock/iptables -c 'iptables -A BANNED -s 140.130.20.202/32 -i eth0 -m comment --comment "2012-03-19 23:49:33 accesslog" -j BANNEDLOG'
etc...
Vous pouvez également l'utiliser comme une base de données avec les options de commentaire, afin que vous puissiez savoir quand et pourquoi etc. flock est important lorsque iptables est fréquemment mis à jour par de nombreux processus - il semble que iptables n'a pas de verrouillage intégré.
Pour afficher les adresses et les règles interdites dans la chaîne interdite:
iptables -S BANNED
Pour afficher les adresses IP uniques triées:
iptables -S BANNED | egrep -o '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort -u
J'ai un certain nombre de démons en cours d'exécution sur mes serveurs vérifiant les fichiers syslog et les blogs, donc si quelque chose de méchant est tenté par quelqu'un, leur adresse est automatiquement interdite pendant quelques jours, selon le type et la gravité et le nombre d'attaques précédentes. Les informations sont enregistrées dans une base de données mysql et expirent périodiquement. Les adresses sont également distribuées à toutes les autres machines du cluster via la réplication mysql afin qu'elles soient également protégées et restent synchronisées. Mon logiciel recherche également le propriétaire du réseau et envoie une plainte au FAI.
Après 10 ans de travail, j'espère le mettre à la disposition de tous pour bientôt. J'ai actuellement environ 1,5 million d'histoires d'adresses IP et des centaines de milliers d'attaques par courrier et SSH signalées, aidant à nettoyer le net. Si plus l'utilisaient, j'espère que cela aurait plus d'impact.
iptables -L INPUT -v -n
affiche tous les IP bloqués