Диапазон блока IP-адресов
Вы можете быть ограничены Вашей шиной, также изучить то, чтобы заставлять многополосный кабель увеличить пропускную способность.
Чтобы заблокировать адреса 116.10.191. *:
$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP
Чтобы заблокировать адреса 116.10. *. *:
$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP
Чтобы заблокировать адреса 116. *. *. *:
$ sudo iptables -A INPUT -s 116.0.0.0/8 - j DROP
Но будьте осторожны при блокировке с помощью этого метода. Вы не хотите препятствовать тому, чтобы легальный трафик достигал хоста.
править : как указано, iptables оценивает правила в последовательном порядке. Правила, расположенные выше в наборе правил, применяются перед правилами ниже в наборе правил. Таким образом, если в вашем наборе правил есть правило, разрешающее указанный трафик, то добавление ( iptables -A ) правила DROP не приведет к ожидаемому результату блокировки. В этом случае вставьте ( iptables -I ) правило:
- в качестве первого правила
sudo iptables -I ...
- или перед правилом разрешения
sudo iptables --line-numbers -vnL
говорят, что правило номер 3 разрешает трафик ssh и вы хотите заблокировать ssh для диапазона IP. -I принимает в качестве аргумента целое число, указывающее место в вашем наборе правил, в которое вы хотите вставить новое правило
iptables -I 2 ...
sudo / sbin / iptables -A INPUT -s 116.10.191.0/24 -j DROP
Блокирует диапазон. При необходимости можно расширить подсеть, используя тот же общий формат.
В качестве альтернативного подхода можно использовать нечто простое, как fail2ban. Он вводит тайм-аут для последовательных неудачных попыток входа в систему и делает жестокое обращение невозможным, так как за тайм-аут они получают лишь несколько шансов. Я устанавливаю тайм-аут на 30 минут. К тому времени, как они пройдут час или два, они понимают, что не смогут продвинуться вперед и сдаться.