Sistema: CentOS 7 Percebi em meu servidor que alguns endereços IP que bloqueei não estão realmente bloqueados, mas continuam mantendo conexões. Comecei a olhar no nível do iptables e vi uma coisa estranha. Em algumas regras, os endereços são inseridos na rejeição não pelo endereço IP, mas pelo nome DNS. Tentei verificar isso e bloquear um endereço IP e, como resultado, as regras do iptables prescreveram o bloqueio do nome DNS deste endereço IP. Qual poderia ser o problema?
Eu bloqueio assim:
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address="Х.Х.Х.Х" reject" && firewall-cmd --reload
Como resultado, a seguinte regra aparece no iptables:
REJECT all -- ec2-Х-Х-Х-Х.eu-central-1.compute.amazonaws.com anywhere reject-with icmp-port-unreachable
A solução para o problema é usar ipset Install
Crie um novo ipset e coloque-o na zona de lançamento
Banir IP