On Fri, Oct 09 2015, Hugo Florentino wrote: > No acabo de encontrar una solución elegante para el siguiente > algoritmo: > > Evaluar los paquetes de conexiones nuevas entrantes por la interfaz > externa. > Si la dirección ip de origen no pertenece a un bloque de direcciones > reservadas (incluyendo mi bloque de direcciones públicas), > y (dicha dirección no se encuentra en el archivo de lista negra o se > encuentra en el archivo de lista blanca), > y la direción de destino no es la dirección de broadcast de mi red, > entonces saltar a la cadena FULANA. > En caso contrario, descartar ese paquete y dejar de procesarlo con > otras reglas. > > Un detalle aqui es que los archivos de lista blanca y lista negra > pueden cambiar en el tiempo, y las reglas deberían actualizarse > inmediatamente en correspondencia. > > Se aceptan sugerencias.
ipsets, esa es tu solución. Solo tienes q ver como hacerlos persistentes (como con «iptables-save»). Ejemplo simple: ipset -N myset iphash ipset -A myset 1.1.1.1 ipset -A myset 2.2.2.2 iptables -A INPUT -m set --set myset src -j DROP Servilio ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
