нужен bash-скрипт для массового бана IP по условию

kxk, как раз таки у дедов он скорее всего не работал. Это внуки от безысходности используют.

Cейчас reverse path filter включен по-умолчанию просто . Если его выключить, то upd-трафик нормально доходит. Просто нелогично фильтровать исходящий трафик вместо входящего. Если пакет не отброшен сразу, обязательно в чем-нибудь этот метод хуже.

Не, вернул все обратно на старый сервак, добавив туда конфиг fail2ban, школодос продолжается :)

Новый VDS брал чтобы хотя бы на время отделить мух от котлет, перенеся туда атакуемый сайт.

netwind, Главное что метод незагружает на Ксеоне свои фильтры по 10 минут при 50к+ записей, как это делают ipset/iptables :)

кажется вы iptables-restore или ipset restore не пробовали.

netwind, Мне они не по душе :)

не придумывай.

iptables действительно создаёт проблемы при большом количестве адресов.

ipset проверял на 100к+ записей. Никаких проблем.

---------- Добавлено 18.12.2013 в 08:41 ----------

Здесь дело не в ipset, а в скорости работы.

Повторное добавление отнимает лишнее время + при увеличении размера лога его парсинг становится дольше.

Himiko, Ипроуту и парсить ничего ненужно это системная утилита :) А вот с IPSET надо что-то выдумывать + его надо жёстко привязывать в Iptables и ядро, спасибо отмучался в своё время, больше нет желания.

kxk, а как удалить ip из списка?

или например полностью очистить от всех ip, не грохнув остальные нужные правила (если они там есть)?

foxi, я делал следующим образом: наряду с ведением таблички в ipfw, сохранял заблокированные IP в файл. Далее, по крону, пускается ещё один скрипт, который удаляет самые старые IP. Обновлённый файл по-новой перезагружается в table.

Кстати, на сколько помню, ipfw десятки тысяч IP в таблице держит нормально.