小编lit*_*ian的帖子

编辑：

令人惊讶的是，寻找解决方案的冲动有时足以缓慢而稳定地引导人们走向解决方案。此外，我越频繁地重读我的问题以澄清它，我意识到这个“问题”远远超出了“简单”问题的范围或让这个社区回答问题的想法。

随着我对iptables的操作概念越来越了解，我会在接下来的几个小时内重新包装这个问题的结构。理解过程还产生了一些更具体的问题，我将很快提供给这个社区并链接到这个问题。

简而言之： 我的问题是找到一套正确的规则来制定：

• 我自己的规则
• 禁止失败
• 额外的 dns 黑名单协同工作，而“我的规则”也意味着要么将我的国家/地区列入 ssh 白名单，从而阻止所有其他国家/地区使用 ssh，但允许所有国家/地区/范围/IP 进行 DNS 查询，但一组黑名单除外。

在数字上：

• 对于 ssh：白名单 50 个范围或黑名单大约。620.000 范围（通过 ipdeny.com 等组成）
• dns 的黑名单条目：大约。140（u32 规则集，脚本）
• 25+/- 附加服务规则（见下文）

歌词版： 我正在努力实现满足我的需求的解决方案：场景如下。我有一个（现在假设是 DNS）服务器。除了绑定ssh，sendmail、https和munin还需要考虑：

这通常很容易实现。此外，我安装了 fail2ban，因为我面临着来自世界各地的一些 (d)dos 攻击。我的主要目标是尽可能地锁定服务器。

我的想法是只将我所在国家/地区的一些 ip 范围列入白名单，这些范围与我可以访问的 ISP 的可能动态 dns 分配相匹配 - 即 DSL 和移动。这样我就不会把自己锁在外面。

我查找了我的 ISP 的所有净范围，这导致了我的以下脚本/规则集：

#ports:
#  22: SSH (#4,#5) (ssh)
#  25: SMTP (#20) (outgoing, sendmail for f2b report)
#  53: DNS (!!#16!! see …