Différences

Ci-dessous, les différences entre deux révisions de la page.

--- netadmin:blocage_adresses_ip [2021/09/04 10:05] – yoann
+++ netadmin:blocage_adresses_ip [2024/06/08 12:18] (Version actuelle) – yoann
@@ Ligne 1: / Ligne 1: @@
 {{tag>sysadmin netadmin linux iptables netfilter ban ip todo}}
-====== Netfilter: Bloquer des adresses IP indésirables ======
+:DEPRECATED:
+<note>
+Sur les distributions récentes, **nftables** remplace **iptables**. Voir la note [[netadmin/nftables/bloquer_temporairement_ip_avec_nftables| bloquer temporairement des IP avec nftables]].
+</note>
+====== iptables: Bloquer des adresses IP indésirables ======
 Il est parfois nécessaire de bloquer des adresses IP avec lesquelles le système Linux communique par défaut: on peut vouloir bannir certains hôtes ayant tenté des attaques contre le système par exemple.
@@ Ligne 51: / Ligne 57: @@
 </code>
-Pour ajouter des IP éléments dans les ensembles:
+Pour ajouter un élément dans un ensemble:
 <code bash>
@@ Ligne 58: / Ligne 64: @@
 sudo ipset add set_banished_ip 93.186.198.153
+</code>
+Pour supprimer un élément de l'ensemble:
+<code bash>
+sudo ipset del set_banished_ip 93.186.198.153
 </code>
@@ Ligne 77: / Ligne 88: @@
 sudo iptables -I DOCKER-USER 2 -m set --match-set set_banished_ip src -p tcp -j DROP
 </code>
 ===== Sauvegarde et restauration d'un ensemble =====
+Il est possible d'exporter/sauvegarder un ensemble dans un fichier texte:
+<code bash>
+sudo ipset save set_banished_ip -f banished_ip.txt
+</code>
+Pour supprimer un set existant:
+<code bash>
+sudo ipset destroy set_banished_ip
+</code>
+<note>
+Un ensemble ne pourra pas être supprimé s'il est en cours d'utilisation par une règle de filtrage.
+</note>
+Pour recréer un ensemble via le fichier d'export:
+<code bash>
+sudo ipset restore -f banished_ip.txt
+</code>
 ===== Automatiser le bannissement =====

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page