Blog

Cómo usar ipset para bloquear conjuntos de IPs grandes con #Core-Admin e #IpBlocker

Introducción a ipset con Core-Admin

En el caso de que quiera bloquear un conjunto grande de IPs (más de 500 ips/redes), entonces puede que haya notado que el modo por defecto block-by-iptables no es lo suficientemente rápido, además tiende a crear un conjunto de reglas iptables demasiado grande, que no ofrece un buen rendimiento.

Selección_334

Si ese es su caso, aquí puede ver cómo configurar su #IpBlocker para usar ipset del kernel de linux.

Prerequisitos para usar ipset con Core-Admin

Esta opción no está disponible para Debian Lenny, Debian Squeeze y Centos 6 debido a soporte limitado o inexistente de ipset.

Cómo activarlo ipset con Core-Admin

#IpBlocker está preparado para cambiar deblock-by-ipset a block-by-iptables y viceversa en cualquier momento que lo necesite. Esto incluye casos donde el firewall ya está funcionando y con un conjunto de reglas de bloqueo.

Para habiltiarlo, simplemente sigua los siguientes pasos. Abra el #IpBlocker como se muestra (se necesita permisos de administrador):

Selección_336

Luego abra la configuración:

Selección_337

A continuación, seleccione block-by-ipset en el modo de bloqueo y dele a guardar. Si no está disponible, por favor, actualice su core-admin. Dependiendo del número de reglas que tenga su máquina, puede que lleve algunos minutos hacer el cambio.

Selección_338

Operación activada

Si todo fue correcto, podrá usar su #IpBlocker como de costumbre (y el resto del sistema también). No se necesitan pasos adicionales debido a que una vez está hecho, es transparente para el usuario y para el sistema.

Algunos detalles internos de cómo ipset es usado con Core-Admin

Bajo el modo ipset, core-admin instalará solo unas pocas reglas dentro de la cadena iptables e ip6tables para enlazar el conjunto ipset creado.

>> iptables -S | grep set
-A INPUT -m set --match-set core_admin_blacklist_ipv4_net src -j DROP
-A INPUT -m set --match-set core_admin_blacklist_ipv4 src -j DROP
-A FORWARD -m set --match-set core_admin_blacklist_ipv4_net src -j DROP
-A FORWARD -m set --match-set core_admin_blacklist_ipv4 src -j DROP
-A OUTPUT -m set --match-set core_admin_blacklist_ipv4_net src -j DROP
-A OUTPUT -m set --match-set core_admin_blacklist_ipv4 src -j DROP

Estos conjuntos (“sets”) son accesibles ejecutando comandos habituales de “ipset” (no manipule directamente, use la aplicación #IpBlocker o la herramienta de comandos crad-ip-blocker.pyc):

>> ipset list

Posted in: Blacklist, Seguridad

Leave a Comment (0) ↓

Leave a Comment

You must be logged in to post a comment.