Iptables с принять страну и бросить все. Как внести в белый список cdn,Drupal.org и т. Д.?

С помощью нескольких ресурсов, доступных на SO, askubuntu, https://forum.linode.com/viewtopic.php?t=10148 брандмауэр настроен на Linode VPS со следующим правилом, которое разрешает некоторую страну на некотором порту, ограничить все другой подход.

*filter
#  https://mattwilcox.net/web-development/unexpected-ddos-blocking-china-with-ipset-and-iptables
#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -m set --match-set allowedset src -j ACCEPT
-A INPUT -p tcp --dport 443 -m set --match-set allowedset src -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 967 -j ACCEPT

#  Allow ping
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#drop digitalocean
-A INPUT -p tcp -s 159.203.0.0/16 -j DROP
-A INPUT -p tcp -s 138.197.0.0/16 -j DROP

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

Разрешенный набор имеет IN, зону США и будет изменен в зависимости от целевых пользователей.

Предположим, что если позднее US-зона будет удалена из разрешенного набора, мне нужно добавить ip-адреса CDN, drupal.org(для установки модуля), mathjs.org, facebook(модуля drupal, связанного с fb) и т. Д.

Если да, то какой должен быть тип INPUT/OUTPUT или оба. Если я правильно понял, CDN не нужен, потому что в заголовок страницы будет добавлена ​​только ссылка, и браузер загрузится в клиентскую систему. Что касается установки модуля drupal и аутентификации модуля, связанного с Facebook, я все еще не понимаю, какое правило мне следует добавить.

Источник

0 ответов

Другие вопросы по тегам