Изпечатай

[gat3way]

Ми правила освен да се добавят, може и да се изтриват Имаш си база, остана само да си направиш някакъв custom chain, да си го парсваш (iptables -L) и да си го сравняваш с това в базата. Повече PHP код е, но е по-ефективно.

[gat3way]

А и да не забравяме най-голямата пробойна при текущата постановка - междувременно падане на MySQL сървъра - затрива правилата, MySQL сървър няма, и нищо не се попълва, докато не се вдигне. А бе не си е работа човек да оставя осъзнати пробойни, дори в случаи, когато не се сеща как точно биха могли да се използват, че не се знае откъде ще изскочи заек, който gat3way да хване

Ня, падането на SQL сървъра би било много трагично стечение на обстоятелствата Обаче лесно предотвратимо ако проверява какво му се връща от mysql_connect()

[neter]

Обаче лесно предотвратимо ако проверява какво му се връща от mysql_connect()

Всъщност, използването на mysql_connect() може да се избегне, първото действие в скрипта да е попълването на масива, и, ако масивът не е празен, тогава да се изпълнява flush-ване и нататък действията в скрипта. Но пък съвсем спокойно MySQL сървърът може да си падне и по време на изпълнението на заявката и тогава... Всъщност, би ли се попълнило нещо в масива (то може да не е масив де, каквото там се използва, биха ли се получили някакви недовършени данни), ако MySQL сървърът падне по време на изпълнението на заявката, и така да се изпълни flush-ване, след което в iptables да се попълни половинчат списък? Все ми се струва, че ще се върне нещо достатъчно, за да сбъгяса историята, но не съм сигурен в момента. Това ми е последното предположение за пробойна. Няма да мисля за други, че голям песимист излязох в тази тема

[edmon]

абе общо взети синтаксиса на командите и на iptables и на tc са с толкова объркана "лексика", че е много гадно да трябва да промениш едно вече зададено правило!
по лесно е да ги затриеш всичките и да ги пльосниш наново!
А съм сигурен, че можеха да измислят нещо по-структурирано!
PF изглежда доста по добре!

[djpatzo]

Мисля, че темата стана доста интересна. Сега въпросът е да се работи по план и да видим какво ще се получи. Не вярвам сървъра да падне.

[neter]

Да си довърша bash скрипта и с премахване на ненужните правила:

Код

GeSHi (Bash):
#!/bin/bash
 
db_user="database username"
db_pass="database password"
db_name="database name"
db_table="database table"
db_field="table field"
 
### НЕ Е НУЖНО ПОВЕЧЕ РЕДАКТИРАНЕ ###
 
remove_ips=( `/sbin/iptables -L INPUT -n | grep "\." | cut -d'-' -f3 | cut -d' ' -f3` )
for i in "${remove_ips[@]}"
do
    check=`/usr/bin/mysql -s -N -u $db_user --password=$db_pass -e "select $db_field from $db_name.$db_table where $db_field like \"$i\""`
    check1=`/usr/bin/mysql -s -N -u $db_user --password=$db_pass -e "select $db_field from $db_name.$db_table"`
    if [ !"$check" -a "$check1" ] ; then
        /sbin/iptables -D INPUT -s $i -j DROP
    fi
done
 
blocked_ips=( `/usr/bin/mysql -s -N -u $db_user --password=$db_pass -e "select $db_field from $db_name.$db_table"` )
for i in "${blocked_ips[@]}"
do
    /sbin/iptables -L INPUT -n | grep $i >/dev/null
    if [ $? -ne 0 ] ; then
        /sbin/iptables -A INPUT -s $i -j DROP
    fi
done

edit: Добавих някои украшения и поправих някои първоначални недомислия.

[neter]

Не вярвам сървъра да падне.

Има доста басни по този въпрос. Обикновено в тях вярващият се оказва изяден