Bloquear milhões de IPs

1. Bloquear milhões de IPs

hunter
hunter2800aa

(usa Debian)

Enviado em 01/10/2025 - 11:20h

Bom dia galera...

Vi uma matéria sobre o IPset que ajuda no desempenho quando se trata de uma lista muito grande de IPs e gostaria da opinião de vcs se pode ser uma boa praticar adicionar a um firewall iptables bloqueando o INPUT de uma lista de CIR muito grande como China / India / Russia..

Alguem saberia sobre o desempenho se não afetaria muito o Firewall? Pq eu tentei apenas com o iptables e realmente ficou lerdo as regras!!!




  


2. Re: Bloquear milhões de IPs

Buckminster
Buckminster

(usa Debian)

Enviado em 01/10/2025 - 13:45h

Já tentou o Fail2ban?

https://www.hostinger.com/br/tutoriais/como-proteger-centos-6-vps-com-fail2ban
https://www.centralserver.com/como-proteger-o-servidor-linux-contra-ataques-usando-o-fail2ban/
https://www.centralserver.com/como-usar-o-fail2ban-para-bloquear-robos-mal-comportados/


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!


3. Re: Bloquear milhões de IPs

hunter
hunter2800aa

(usa Debian)

Enviado em 01/10/2025 - 14:21h


Obrigado por responder Buckminster, sim eu já uso o fail2ban, mas gostei da opção de ter varios IPs dessa maneira!!

Vc conhece ou já usou o IPset?


4. Re: Bloquear milhões de IPs

Buckminster
Buckminster

(usa Debian)

Enviado em 01/10/2025 - 15:10h

Nunca utilizei o IPSet, mas ele bloqueia milhões de IPs, pois foi feito para isso mesmo.
Ele é uma extensão do Netfilter (iptables/nftables) que permite criar e manipular conjuntos (sets) de IPs, redes (CIDRs), portas etc, que podem ser usados em regras de firewall. Ele foi projetado para desempenho e escalabilidade.
Sugiro utilizar o IPSet em conjunto com o NFTables, que é o sucessor do IPtables. Talvez, com o NFtables, tenha de usar o IPSet com o compat, pois pelo que vi o nftables não usa ipset diretamente como regra nativa — você precisa usar o compat.
https://ipset.netfilter.org/
https://www.netfilter.org/projects/ipset/index.html
https://www.netfilter.org/projects/nftables/index.html

"O que é ipset?
Conjuntos de IP são uma estrutura dentro do kernel Linux 2.4.x e posteriores, que pode ser administrada pelo utilitário ipset. Dependendo do tipo, atualmente um conjunto de IP pode armazenar endereços IP, números de porta (TCP/UDP) ou endereços IP com endereços MAC de forma a garantir a velocidade da luz na comparação de uma entrada com um conjunto.
Se você quiser armazenar vários endereços IP ou números de porta e comparar com a coleção do iptables de uma só vez,
atualizar dinamicamente as regras do iptables em relação aos endereços IP ou portas sem perda de desempenho,
expressar conjuntos de regras complexos baseados em endereços IP e portas com uma única regra iptables e se beneficiar da velocidade dos conjuntos IP;
então o ipset pode ser a ferramenta certa para você."



_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!


5. Re: Bloquear milhões de IPs

Rennan de Sá Lopes
rennanlopes

(usa Arch Linux)

Enviado em 02/10/2025 - 19:54h

Boa noite amigo,

Se você não nenhum NGFW na frente do teu servidor e esse servidor está acessível na internet (com algum serviço publico) o ipset facilita bastante na configuração.

A questão do desempenho depende do teu hardware.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts