Uso correto de IPs de cloudflare na lista de permissões em iptables

Question

Uso correto de IPs de cloudflare na lista de permissões em iptables

#1 resposta do (1 votos)
#2 resposta do (1 votos)

2

Sou relativamente novo no uso da linha de comando, então estou compreensivelmente nervoso em mexer nas tabelas IP e acidentalmente fazer algo errado, o que consequentemente abre vulnerabilidades no firewall.

Então, eu pensei em perguntar aqui se o uso do meu comando estava correto antes de tentar adicionar essa regra de lista branca via ssh.

iptables -I INPUT -p tcp -m multiport --dports http,https -s 204.93.240.0/24  204.93.177.0/24  199.27.128.0/21  173.245.48.0/20  103.22.200.0/22  141.101.64.0/18  108.162.192.0/18  190.93.240.0/20  188.114.96.0/20 -j ACCEPT

Este uso está correto? Não tenho certeza se é possível adicionar todos esses IPs de uma vez ou se eu tenho que adicioná-los manualmente, um por um ..

iptables cloudflare

por Tyrx 02.10.2012 / 12:45

2 respostas

Tags iptables cloudflare

Dell PowerEdge R310 e T310 não permitindo configuração RDIMM de 4 GB 4 GB Os e-mails para vários destinatários são entregues várias vezes por usuário

score 1 · Answer 1

Não posso comentar como é sábio codificar os netblocks do seu CDN, porque presumo que você tenha pensado nisso e tenha uma maneira de garantir que você esteja atualizado se implantar sistemas em um novo datacenter . No entanto, observarei que você precisará separar os netblocks notificados pelo CIDR em vez de separá-los. :)

Além disso: sua chamada atual funcionará quando a sintaxe estiver limpa, mas se você não especificar um número de regra após -I INPUT , ela será adicionada no final da cadeia, onde você provavelmente já tem um padrão -dado de regra. Em outras palavras: esta regra não fará nada onde este comando vai colocá-lo.

A melhor maneira de lidar com isso é encontrar e editar seu arquivo de regras e, em seguida, recarregá-lo.

score 1 · Answer 2

Em vez de tentar colocá-los todos em uma só linha, você deve tem uma linha por intervalo de endereços IP . Infelizmente, isso parece ser o que a CloudFlare está recomendando.

Assim, a lista completa ficaria assim:

iptables -A INPUT -p tcp -m multiport --dports http,https -s 204.93.240.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 204.93.177.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 199.27.128.0/21 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 173.245.48.0/20 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 103.22.200.0/22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 141.101.64.0/18 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 108.162.192.0/18 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports http,https -s 190.93.240.0/20 -j ACCEPT

ip6tables -A INPUT -p tcp -m multiport --dports http,https -s 2400:cb00::/32 -j ACCEPT
ip6tables -A INPUT -p tcp -m multiport --dports http,https -s 2606:4700::/32 -j ACCEPT

Felizmente, eles têm as listas disponíveis como arquivos de texto simples que você pode buscar de tempos em tempos e incorporar em um script de criação de firewall.