Hobby-firewall: Difference between revisions

From Hobbynet Admin Wiki
Jump to navigation Jump to search
VisualWikitext
 
(18 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[aanzet om de nieuwe firewall implementatie te beschrijven]
Omdat er steeds terugkerende delen in de firewalls werden gezet, is gekeken of deze delen uit het standaard 'rules' en 'rules6' bestand gelicht konden worden, en in aparte bestanden ondergebracht.
Daarnaast bleek dat met name in de IPv6 firewall het gebruik van domeinnamen (in plaats van directe IP-adressen) soms tot heftige vertraging leidde (IPv6 reverse DNS is  lang niet altijd ingeregeld, en die wordt aangesproken als je ip6tables zelf de vertaling uit laat voeren).
De vertaling van domein namen naar IP-adressen is nu in een apart script opgenomen. Dit script wordt eerst uitgevoerd, daarna pas wordt iptables gestopt en gestart.
'''WORK IN PROGRESS!'''
== waar staan de files en waar dienen ze voor ==
== waar staan de files en waar dienen ze voor ==
===lokale files===
===lokale files===
Line 7: Line 19:
===symlinks centraal beheerde files voor die server specifiek===
===symlinks centraal beheerde files voor die server specifiek===
Deze staan in /usr/local/hobbynet/firewall/<br>
Deze staan in /usr/local/hobbynet/firewall/<br>
* /etc/hobby-firewall/allow_http (symlink naar de file met de websites waarna de server mag connecten)
* /etc/hobby-firewall/allow_http (symlink naar de file met de websites waarnaar de server mag connecten)
* /etc/hobby-firewall/allow_ftp (symlink naar de file met de ftpservers waarna de server mag connecten)
* /etc/hobby-firewall/allow_ftp (symlink naar de file met de ftpservers waarnaar de server mag connecten)
* /etc/hobby-firewall/allow_http.ip4 (symlink naar de file met IPv4 adressen van websites waarna de server mag connecten)
* /etc/hobby-firewall/allow_http.ip4 (symlink naar de file met IPv4 adressen van websites waarnaar de server mag connecten)
* /etc/hobby-firewall/allow_ftp.ip4 (symlink naar de file met IPv4 adressen van ftpservers waarna de server mag connecten)
* /etc/hobby-firewall/allow_ftp.ip4 (symlink naar de file met IPv4 adressen van ftpservers waarnaar de server mag connecten)
* /etc/hobby-firewall/allow_http.ip6 (symlink naar de file met IPv6 adressen van websites waarna de server mag connecten)
* /etc/hobby-firewall/allow_http.ip6 (symlink naar de file met IPv6 adressen van websites waarnaar de server mag connecten)
* /etc/hobby-firewall/allow_ftp.ip6 (symlink naar de file met IPv6 adressen van ftpservers waarna de server mag connecten)
* /etc/hobby-firewall/allow_ftp.ip6 (symlink naar de file met IPv6 adressen van ftpservers waarnaar de server mag connecten)
=== Scripts gebruikt door firewall ===
=== Scripts gebruikt door firewall ===
* /usr/local/hobbynet/bin/getip-http (dit script zet allow_http files om naar lijst met ip addressen)
* /usr/local/hobbynet/bin/getip-http (dit script zet allow_http files om naar lijst met IP-adressen)
* /usr/local/hobbynet/bin/getip-ftp (dit script zet allow_ftp files om naar lijst met ip addressen)
* /usr/local/hobbynet/bin/getip-ftp (dit script zet allow_ftp files om naar lijst met IP-adressen)
* /usr/local/hobbynet/bin/get_ip4 (dit script kopieert de centraal beheerde ipv4 files met extentie .ip4 naar lokale server)
* /usr/local/hobbynet/bin/get_ip4 (dit script kopieert de centraal beheerde ipv4 files met extentie .ip4 naar lokale server)
* /usr/local/hobbynet/bin/get_ip6 (dit script kopieert de centraal beheerde ipv6 files met extentie .ip6 naar lokale server)
* /usr/local/hobbynet/bin/get_ip6 (dit script kopieert de centraal beheerde ipv6 files met extentie .ip6 naar lokale server)
=== centraal beheerde files ===
=== centraal beheerde files ===
* /usr/local/hobbynet/firewall/general/hobby-firewall ( Het orginele init script van de firewall het staat hier en niet in bin wat hier kunnen alle servers er bij)
Files die die naar lokale server worden gekopieer worden in de directory geplaatst /etc/hobby-firewall/work dit is overwaring te voorkommen.
* /usr/local/hobbynet/firewall/general/knownoffenders.ip4 (lijst bekend onverlaten die wij blokken IPv4)
* /usr/local/hobbynet/firewall/general/hobby-firewall ( Het originele init script van de firewall staat hier en niet in bin, want hier kunnen alle servers er bij)
* /usr/local/hobbynet/firewall/general/knownoffenders.ip6 (lijst bekend onverlaten die wij blokken IPv6)
* /usr/local/hobbynet/firewall/general/knownoffenders.ip4 (lijst bekende onverlaten die wij blokken IPv4)
* /usr/local/hobbynet/firewall/general/in_up.ip4 ( het bovenste deel van de centraal beheerder incoming firewall rules)
* /usr/local/hobbynet/firewall/general/knownoffenders.ip6 (lijst bekende onverlaten die wij blokken IPv6)
* /usr/local/hobbynet/firewall/general/in_down.ip4 ( het onderste deel van de centraal beheerder incoming firewall rules)
* /usr/local/hobbynet/firewall/general/in_up.ip4 (het bovenste deel van de centraal beheerder incoming firewall rules)
* /usr/local/hobbynet/firewall/general/out_up.ip4 ( het bovenste deel van de centraal beheerder outgoing firewall rules)
* /usr/local/hobbynet/firewall/general/in_down.ip4 (het onderste deel van de centraal beheerder incoming firewall rules)
* /usr/local/hobbynet/firewall/general/out_down.ip4 ( het onderste deel van de centraal beheerder outgoing firewall rules)
* /usr/local/hobbynet/firewall/general/out_up.ip4 (het bovenste deel van de centraal beheerder outgoing firewall rules)
* /usr/local/hobbynet/firewall/general/out_down.ip4 (het onderste deel van de centraal beheerder outgoing firewall rules)
=== scripts updaten op servers met een eigenen bin ===
het script /usr/local/hobbynet/bin/update-fw-scripts zorgt er voor dat scripts die nodig zijn voor de firewall worden gekopieerd naar server met een eigen bin.
de input file hier voor staat hier : /usr/local/hobbynet/lib/eigenbin


== webservers ==
== files ==
op de webservers staan standaard 80 en 443 open
=== /etc/init.d/hobby-firewall ===
== init.d script ==
Dit script zorgt er voor dat de firewall wordt gestart en de rules files worden ingelezen en verwerkt.
 
=== /etc/hobby-firewall/rules ===
In de rules file staan naast de lokaal gelden firewall rules ook de includes van de centraal beheerde bestanden.<br>
Het standaard rules file voor een webserver ziet er zo uit :
<pre>
<pre>
#!/bin/sh
#! /bin/bash
# $Id: bit-firewall,v 1.4 2005/01/25 09:26:22 marks Exp $
#
 
PATH=/bin:/usr/bin:/sbin:/usr/sbin
IPTABLES="iptables -v"
NAME=bit-firewall
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
IP6TABLES="ip6tables -v"
 
start6()
{
        # Flush first
        $IP6TABLES -F
 
        # Linklocal Multicast is toegestaan
        $IP6TABLES -A INPUT -s fe80::/10 -d ff02::/16 -j ACCEPT
        # echo, NA/NS is toegestaan
        $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type 1 -j ACCEPT
        $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type 2 -j ACCEPT
        $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type 135 -j ACCEPT
        $IP6TABLES -A INPUT -p icmpv6 --icmpv6-type 136 -j ACCEPT
 
        # Basic sanity. Disallow packets to malicious IPv4 compatible prefix
        $IP6TABLES -A OUTPUT -s ::ffff:0.0.0.0/96 -j DROP
        $IP6TABLES -A OUTPUT -d ::ffff:0.0.0.0/96 -j DROP
        $IP6TABLES -A OUTPUT -s ::224.0.0.0/100 -j DROP
        $IP6TABLES -A OUTPUT -d ::224.0.0.0/100 -j DROP
        $IP6TABLES -A OUTPUT -s ::127.0.0.0/104 -j DROP
        $IP6TABLES -A OUTPUT -d ::127.0.0.0/104 -j DROP
        $IP6TABLES -A OUTPUT -s ::0.0.0.0/104 -j DROP
        $IP6TABLES -A OUTPUT -d ::0.0.0.0/104 -j DROP
        $IP6TABLES -A OUTPUT -s ::255.0.0.0/104 -j DROP
        $IP6TABLES -A OUTPUT -d ::255.0.0.0/104 -j DROP
        $IP6TABLES -A OUTPUT -s ::0.0.0.0/96 -j DROP
        $IP6TABLES -A OUTPUT -d ::0.0.0.0/96 -j DROP
 
        # Disallow malicious 6to4 traffic;
        $IP6TABLES -A OUTPUT -s 2002:e000::/20 -j DROP
        $IP6TABLES -A OUTPUT -d 2002:e000::/20 -j DROP
        $IP6TABLES -A OUTPUT -s 2002:7f00::/24 -j DROP
        $IP6TABLES -A OUTPUT -d 2002:7f00::/24 -j DROP
        $IP6TABLES -A OUTPUT -s 2002::/24 -j DROP
        $IP6TABLES -A OUTPUT -d 2002::/24 -j DROP
        $IP6TABLES -A OUTPUT -s 2002:ff00::/24 -j DROP
        $IP6TABLES -A OUTPUT -d 2002:ff00::/24 -j DROP
        $IP6TABLES -A OUTPUT -s 2002:0a00::/24 -j DROP
        $IP6TABLES -A OUTPUT -d 2002:0a00::/24 -j DROP
        $IP6TABLES -A OUTPUT -s 2002:ac10::/24 -j DROP
        $IP6TABLES -A OUTPUT -d 2002:ac10::/24 -j DROP
        $IP6TABLES -A OUTPUT -s 2002:c0a8::/24 -j DROP
        $IP6TABLES -A OUTPUT -d 2002:c0a8::/24 -j DROP
 
        # Disallow sitelocal multicast
        $IP6TABLES -A OUTPUT -s ff05::/16 -j DROP
        $IP6TABLES -A OUTPUT -d ff05::/16 -j DROP
 
        if [ -r /etc/hobby-firewall/rules6 ]; then
        . /etc/hobby-firewall/rules6
        fi
}
 
stop6()
{
        # Flush alles
        #$IP6TABLES -F
        echo "ip6tables disabled..."
}
 
start4()
{
        # Flush first
        $IPTABLES -F
 
        # Default loopback sanity
        $IPTABLES -A INPUT -i lo -j ACCEPT
 
        # We trust BIT-admin IPs fully:
        $IPTABLES -A INPUT -s 213.136.0.33/32 -j ACCEPT
        $IPTABLES -A INPUT -s 213.136.12.128/26 -j ACCEPT
 
        # We allow ICMP
        $IPTABLES -A INPUT -p ICMP -j ACCEPT
 
        # draft-manning-dsua-03.txt networks;
        $IPTABLES -A INPUT  -s 0.0.0.0/8 -j DROP
        $IPTABLES -A OUTPUT -d 0.0.0.0/8 -j DROP
        $IPTABLES -A INPUT  -s 169.254.0.0/16 -j DROP
        $IPTABLES -A OUTPUT -d 169.254.0.0/16 -j DROP
#      $IPTABLES -A INPUT  -s 192.0.2.0/24 -j DROP
#      $IPTABLES -A OUTPUT -d 192.0.2.0/24 -j DROP
#      $IPTABLES -A INPUT  -s 224.0.0.0/4 -j DROP
#      $IPTABLES -A OUTPUT -d 224.0.0.0/4 -j DROP
#      $IPTABLES -A INPUT  -s 240.0.0.0/4 -j DROP
#      $IPTABLES -A OUTPUT -d 240.0.0.0/4 -j DROP
 
        # RFC1918 is allowed SSH access at least:
        $IPTABLES -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j ACCEPT
        $IPTABLES -A INPUT -s 172.16.0.0/12 -p tcp --dport 22 -j ACCEPT
        $IPTABLES -A INPUT -s 10.0.0.0/8 -p tcp --dport 22 -j ACCEPT
 
        # Allow RELATED or ESTABLISHED traffic
        $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
        if [ -r /etc/hobby-firewall/rules ]; then
        . /etc/hobby-firewall/rules
        fi
}


stop4()
{
        # Flush alles
        $IPTABLES -F
}
case "$1" in
    start)
                echo -n "Starting the BIT firewall ."
                start4
                echo -n "."
                start6
                echo -n "."
                echo ". Done"
        ;;
    stop)
                echo -n "Stopping the BIT firewall ."
                stop4
                echo -n "."
                stop6
                echo -n "."
                echo ". Done"
                echo "################################################################################"
                echo "# WARNING: Currently, you have no firewall running. This *could* be hazardous. #"
                echo "################################################################################"
        ;;
    force-reload|restart)
                stop4;
                stop6;
                echo -n "."
                echo -n "."
                start4;
                start6;
                echo ". Done."
        ;;
    *)
        echo "Usage: /etc/init.d/$NAME {start|stop|restart|force-reload}"
        exit 1
        ;;
esac
exit 0
</pre>
== rules ==
<pre>
#####
#####
#
#
# $Id: $
# IPv4 rule file voor hobbynet-firewall
#
# In /etc/init.d/bit-firewall, some BIT IP's are granted full access by
# default. This is to make sure that BIT can always access your machine from
# our admin-network. When upgrading the bit-firewall package, we will always
# overwrite that file. If you don't want BIT IP's to have full access, please
# uninstall the 'bit-firewall' package. Please remember that it could be a
# problem for BIT to connect to your machine in that case and that you may
# not have a working firewall anymore.
#
#
#####
#####


host=212.72.224.12
PUBIF="eth0"
hostinternal=172.31.1.11
LOCIF="eth1"
 
 


# Inbound established and related traffic is ok:
# Inbound established and related traffic is ok:
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# include default incoming rules UP
. $WORK/in_up.ip4


$IPTABLES -A INPUT  -s 84.245.31.147 -m state --state NEW -j ACCEPT
# HTTP/HTTPS are always allowed:
 
$IPTABLES -A INPUT -p tcp --dport 80  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT


# include default incoming rules DOWN
. /etc/hobby-firewall/in_down.ip4


# SMTP, FTP and HTTP/HTTPS are always allowed:
# If you want to enable tcp services for this box, uncomment the lines
# below.
$IPTABLES -A INPUT -p tcp -d $host --dport 21  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $host --dport 21  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $host --dport 25  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -d 127.0.0.1 --dport 25  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -d 127.0.0.1 --dport 587  -m state --state NEW -j ACCEPT


$IPTABLES -A INPUT -d $host -p tcp --dport 80  -m state --state NEW -j ACCEPT
## OUTPUT ##
$IPTABLES -A INPUT -d $host  -p tcp --dport 443  -m state --state NEW -j ACCEPT


#nagios
# Outbound established and related traffic is ok:
$IPTABLES -A INPUT -p tcp -s 212.72.229.2 --dport 5666  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.229.8 --dport 5666  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.229.9 --dport 5666  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.224.120 --dport 5666  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.224.46 --dport 5666  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.224.48 --dport 5666  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.229.49 --dport 5666  -m state --state NEW -j ACCEPT
 
 
# alles van interne netwerk mag
 
$IPTABLES -A INPUT -s 212.72.224.0/24 -j ACCEPT
$IPTABLES -A INPUT -s 172.31.1.0/24 -j ACCEPT
 
 
# DNS and NTP should be working:
$IPTABLES -A INPUT -p udp -s 212.72.224.0/28 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 212.72.224.0/28 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -s 213.136.12.28/28 --sport 123 -j ACCEPT
 
 
# drop korea
 
$IPTABLES -A INPUT -p tcp -s 58.29.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.65.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.72.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.87.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.102.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.120.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.138.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.140.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.145.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.146.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.148.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.180.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.181.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.184.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.224.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.0.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.86.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.150.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.151.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.152.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.186.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.196.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.4.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.5.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.32.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.40.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.47.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.72.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.80.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.84.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.96.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.247.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.247.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.247.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.248.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 66.232.136.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 66.232.144.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.0.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.0.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.1.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.50.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.50.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.53.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.54.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.55.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.55.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.64.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.78.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.88.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.100.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.124.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.126.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.127.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.127.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.128.0.0/10 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.200.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.252.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.254.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.254.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.0.8.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.0.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.32.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.49.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.99.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.100.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.101.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.199.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.199.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.202.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.202.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.203.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.252.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.252.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.254.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.254.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.98.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.98.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.99.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.199.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.200.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.254.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.0.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.2.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.5.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.28.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.28.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.46.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.48.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.80.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.111.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.136.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.146.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.194.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.197.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.197.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.198.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.199.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.199.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.216.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.243.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.254.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.7.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.7.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.31.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.57.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.60.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.61.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.128.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.176.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.208.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.209.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.240.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.248.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.252.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 128.134.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 129.254.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 134.75.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 137.68.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 141.223.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 143.248.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 147.6.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 147.43.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 147.46.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 150.150.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 150.183.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 150.197.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 152.99.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 152.149.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 154.10.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 155.230.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 156.147.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 157.197.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 158.44.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 161.122.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 163.152.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 163.180.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 163.239.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 164.124.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.132.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.141.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.186.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.194.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.213.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.229.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.243.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.244.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 165.246.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 166.79.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 166.103.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 166.104.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 166.125.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.78.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.115.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.126.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.131.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.154.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.188.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.219.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.248.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 169.140.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.5.90.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.100.2.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.104.15.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.132.15.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.132.247.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.132.248.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.195.39.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.195.40.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.203.138.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.203.140.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.203.144.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.203.146.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.245.249.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.245.250.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.249.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 198.178.187.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.6.95.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.14.103.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.14.165.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.82.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.84.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.86.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.99.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.119.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.21.0.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.22.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.30.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.47.143.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.68.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.73.132.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.86.8.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.89.248.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.93.6.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.126.112.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.133.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.136.112.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.136.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.150.48.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.158.144.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.163.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.167.208.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.171.248.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.179.176.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.189.128.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.77.176.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.81.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.82.240.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.83.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.84.240.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.90.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.100.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.109.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.123.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.128.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.128.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.130.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.130.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.131.24.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.132.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.133.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.142.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.150.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.152.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.153.144.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.160.8.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.170.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.171.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.173.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.175.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.207.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.210.16.0/30 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.210.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.212.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.212.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.215.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.216.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.217.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.223.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.224.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.0.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.2.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.16.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.57.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.80.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.87.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.89.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.90.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.92.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.96.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.178.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.180.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.192.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.204.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.210.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.216.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.32.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.104.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.112.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.168.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.176.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.192.0.0/10 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.36.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.48.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.101.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.144.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.209.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.232.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.240.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.248.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.64.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.72.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.80.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.88.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.92.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.103.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.116.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.120.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.149.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.230.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.132.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.133.48.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.133.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.138.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.140.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.144.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.160.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.168.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.96.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.112.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.120.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.122.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.231.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.232.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.251.128.0/17 --dport 22 -j DROP
 
 
### drop alle smtp vanuit china
 
$IPTABLES -A INPUT -p tcp -s 58.14.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.16.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.24.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.30.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.32.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.66.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.68.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.82.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.87.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.99.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.100.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.116.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.128.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.144.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.192.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 58.240.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.32.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.64.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.72.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.77.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.78.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.80.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.107.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.108.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.151.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.155.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.172.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.191.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 59.192.0.0/10 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.0.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.55.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.63.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.160.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.194.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.200.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.208.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.232.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.235.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.245.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.247.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.252.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.253.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 60.255.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.8.160.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.28.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.29.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.45.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.47.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.48.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.87.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.128.0.0/10 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.232.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.236.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 61.240.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.0.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.4.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.8.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.16.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.24.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.28.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.31.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.32.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.40.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.46.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.48.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.51.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.55.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.56.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.58.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.59.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.60.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.68.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.76.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.89.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.100.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.192.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.201.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.224.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 121.248.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.0.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.0.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.4.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.8.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.48.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.51.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.64.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.96.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.102.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.102.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.192.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.198.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.200.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.204.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.224.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.240.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 122.49.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.0.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.4.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.8.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.49.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.64.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.96.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.98.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.99.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 123.199.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.6.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.16.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.20.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.29.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.40.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.42.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.47.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.64.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.66.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.67.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.68.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.72.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.89.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.90.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.92.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.108.8.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.108.40.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.112.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.128.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.147.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.156.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.160.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.172.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.192.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.196.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.200.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.220.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.224.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.240.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.242.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.243.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.248.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.249.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.250.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 124.254.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.31.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.32.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.58.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.62.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.64.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.96.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.98.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.104.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.112.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.171.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.208.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.210.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.213.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.215.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.216.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 125.254.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 134.196.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 159.226.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 161.207.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 162.105.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 166.111.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 167.139.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 168.160.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.83.122.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.124.154.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 192.188.170.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 198.17.7.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 198.97.132.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.0.110.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.0.160.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.0.176.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.3.77.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.4.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.4.252.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.8.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.10.64.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.14.88.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.14.235.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.14.236.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.14.238.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.20.120.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.22.248.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.32.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.128.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.136.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.138.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.140.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.144.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.149.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.150.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.152.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.156.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.158.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.160.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.164.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.168.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.176.0/23 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.184.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.38.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.41.152.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.41.240.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.46.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.46.224.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.60.112.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.62.248.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.69.4.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.69.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.70.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.74.8.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.75.208.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.85.208.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.90.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.90.224.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.90.252.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.91.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.91.128.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.91.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.91.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.92.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.92.252.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.93.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.93.252.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.94.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.95.0.0/19        --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.95.252.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.96.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.112.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.120.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.122.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.122.32.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.122.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.122.112.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.122.128.0/24 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.123.96.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.125.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.127.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.127.112.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.127.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.127.160.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.127.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.130.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.130.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.131.16.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.131.48.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.131.208.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.136.48.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.136.208.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.136.224.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.136.252.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.141.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.142.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.143.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.148.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.149.160.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.149.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.150.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.152.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.153.48.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.158.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.160.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.164.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.165.96.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.165.176.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.165.208.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.166.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.168.160.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.170.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.170.216.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.173.8.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.173.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.179.240.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.180.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.181.112.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.189.80.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 202.192.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.79.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.80.144.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.81.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.83.56.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.86.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.86.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.87.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.88.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.88.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.88.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.89.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.90.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.90.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.90.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.91.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.91.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.91.96.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.91.120.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.92.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.92.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.93.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.94.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.95.0.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.95.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.99.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.99.80.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.100.32.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.100.80.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.100.92.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.100.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.110.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.118.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.119.24.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.119.32.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.128.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.128.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.128.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.130.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.132.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.134.240.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.135.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.135.160.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.148.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.152.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.156.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.158.16.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.161.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.166.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.171.224.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.174.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.175.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.175.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.176.168.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.184.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.184.80.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.187.160.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.190.96.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.191.16.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.191.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.191.144.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.192.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.196.0.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.207.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.207.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.208.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.208.16.0/22 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.208.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.209.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.212.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.212.80.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.222.192.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 203.223.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.0.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.2.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.5.0.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.5.32.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.5.128.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.12.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.14.64.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.14.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.15.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.15.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.16.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.21.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.22.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.23.32.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.25.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.26.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.28.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.32.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.51.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.52.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.56.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.72.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.76.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.78.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.79.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.79.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.82.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.87.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.185.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.192.96.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 210.211.0.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.64.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.80.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.96.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.136.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.144.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 211.160.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.0.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.56.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.64.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.96.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.104.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.108.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.192.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.240.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 218.249.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.72.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.82.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.128.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.216.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.224.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.242.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 219.244.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.101.192.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.112.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.152.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.154.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.160.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.192.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.231.0.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.231.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.232.64.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.234.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.242.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 220.248.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.0.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.8.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.12.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.12.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.13.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.14.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.122.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.129.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.130.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.133.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.136.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.172.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.176.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.192.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.196.0.0/15 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.198.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.199.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.199.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.199.192.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.199.224.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.200.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.208.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 221.224.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.16.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.32.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.64.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.125.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.126.128.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.128.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.160.0.0/14 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.168.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.176.0.0/12 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.192.0.0/11 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.240.0.0/13 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.248.0.0/16 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.249.0.0/17 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.249.128.0/18 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.249.192.0/19 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.249.224.0/20 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.249.240.0/21 --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -s 222.249.248.0/23 --dport 22 -j DROP
 
#ssh naar host en hostinternal ma
$IPTABLES -A INPUT -p tcp -d $host --dport 22  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $hostinternal --dport 22  -m state --state NEW -j ACCEPT
 
 
 
# icmp is harmless:
$IPTABLES -A INPUT -p icmp -m state --state NEW -j ACCEPT
 
# No other incoming tcp-connections (send RST):
$IPTABLES -A INPUT -p tcp -j REJECT
 
# Default rule: drop *all* other traffic silently
$IPTABLES -A INPUT -j DROP
 
 
 
# Inbound established and related traffic is ok:
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# include default outgoing rules UP
. $WORK/out_up.ip4


$IPTABLES -A OUTPUT  -d 82.169.69.227 -m state --state NEW -j ACCEPT
# include http_allow.ip4
. $WORK/http_allow.ip4


# naar dns server hobbynet en bit mag
# include ftp_allow.ip4
$IPTABLES -A OUTPUT -p tcp -d 212.72.224.8 --dport 53 -m state --state NEW -j ACCEPT
. $WORK/ftp_allow.ip4
$IPTABLES -A OUTPUT -p tcp -d 212.72.224.9 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 212.72.224.8 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 212.72.224.9 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 213.136.12.52 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 213.136.12.52 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 213.136.12.60 --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 213.136.12.60 --dport 53 -m state --state NEW -j ACCEPT


# include default outgoing rules DOWN
. $WORK/out_down.ip4
</pre>


### alle servers mogen loggen naar syslog
=== /etc/hobby-firewall/rules6 ===
Volgt nog zodra deze ook gestandaardiseerd is


$IPTABLES -A OUTPUT -p udp -d log-int.hobby.nl --dport 514 -m state --state NEW -j ACCEPT
=== /etc/hobby-firewall/hobby-firewall.local ===
$IPTABLES -A OUTPUT -p udp -d log.hobby.nl --dport 514 -m state --state NEW -j ACCEPT
Wanneer deze file op server bestaat zorgt deze er voor dat de allow_* files worden omgezet naar IP-adressen, die vervolgens worden toegestaan in de uitgaande firewall.


<pre>
#!/bin/bash
# Vertaal domeinnamen naar IP adressen t.b.v. hobby-firewall


### alle server mogen intern ntp en naar bit ntp doen
# In de onderliggende scripts wordt $MAPNAME vertaald
$IPTABLES -A OUTPUT -p udp -d 213.136.12.53 --dport 123 -m state --state NEW -j ACCEPT
# naar /usr/local/hobbynet/firewall/$MAPNAME.
$IPTABLES -A OUTPUT -p udp -d 213.136.12.61 --dport 123 -m state --state NEW -j ACCEPT
# In die map staan de originele 'allow'-bestanden
$IPTABLES -A OUTPUT -p udp -d 212.72.224.0/24 --dport 123 -m state --state NEW -j ACCEPT
# die vertaald gaan worden naar een lijst met IP adressen.
$IPTABLES -A OUTPUT -p udp -d 212.72.229.0/24 --dport 123 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d 172.31.1.0/24 --dport 123 -m state --state NEW -j ACCEPT


MAPNAME=cacert


/usr/local/hobbynet/bin/getip-http $MAPNAME
/usr/local/hobbynet/bin/getip-ftp  $MAPNAME
</pre>


### connections to database server
$MAPNAME geeft aan in welke subdirectory de allow files staan onder /usr/local/hobbynet/firewall
$IPTABLES -A OUTPUT -p tcp -d 212.72.224.126 --dport 3306 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 212.72.224.126 --dport 5432 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 172.31.1.1 --dport 3306 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 172.31.1.1 --dport 5432 -m state --state NEW -j ACCEPT


##intern web mag
=== /usr/local/hobbynet/bin/getip-http ===
Dit script maakt van de bestanden allow_http, allow_http.ip4 en allow_http.ip6 een lijst met daarin de IP-adressen van toegestane webservers.


$IPTABLES -A OUTPUT -p tcp -d 212.72.224.0/24 --dport 80 -m state --state NEW -j ACCEPT
<pre>
$IPTABLES -A OUTPUT -p tcp -d 212.72.224.0/24 --dport 443 -m state --state NEW -j ACCEPT
#!/bin/sh
#
#  Dit script zorgt voor de vertaling van domein namen naar IP-adressen
#  (zowel IPv4 als IPv6) voordat de firewall wordt gestart of herstart
#
#
UL_FW="/usr/local/hobbynet/firewall"
HOSTS="$UL_FW/$1/allow_http"
HOSTSIP4="$UL_FW/$1/allow_http.ip4"
HOSTSIP6="$UL_FW/$1/allow_http.ip6"


ETC_FW="/etc/hobby-firewall"
HOSTSV4RAW="$ETC_FW/allow_http.v4raw"
HOSTSV6RAW="$ETC_FW/allow_http.v6raw"
HOSTSV4="$ETC_FW/allow_http.v4"
HOSTSV6="$ETC_FW/allow_http.v6"


### baskeys mag
# check if $HOSTS exists
$IPTABLES -A OUTPUT -p tcp -d 213.154.241.172 --dport 443 -m state --state NEW -j ACCEPT
if [ ! -e $HOSTS ] ; then
$IPTABLES -A OUTPUT -p tcp -d 213.154.241.152 --dport 443 -m state --state NEW -j ACCEPT
  echo "$HOSTS ontbreekt: geen nieuwe IP bestanden gemaakt!!"
  exit 1
fi


#verkeer naar nfs mag
if [ -e $HOSTSV4 ] ; then
rm $HOSTSV4
fi
if [ -e $HOSTSV4RAW ] ; then
rm $HOSTSV4RAW
fi
if [ -e $HOSTSV6 ] ; then
rm $HOSTSV6
fi
if [ -e $HOSTSV6RAW ] ; then
rm $HOSTSV6RAW
fi


$IPTABLES -A OUTPUT -d 212.72.224.105 -j ACCEPT
echo "Generating http IPv4 address file and IPv6 address file from $HOSTS"
$IPTABLES -A OUTPUT -d 172.31.1.2 -j ACCEPT


for i in `cat $HOSTS`
do
server_ip=`host $i |grep address | grep -v IPv6|awk '{printf "%s\n",$4}'`
echo $server_ip >> $HOSTSV4RAW
server_ip=`host $i |grep address | grep IPv6  |awk '{printf "%s\n",$5}'`
echo $server_ip >> $HOSTSV6RAW


#smtp naar mail
# Geef niet te resolven namen op de console weer
# developers.facebook.com wordt wel gevonden maar geeft ook 'not found' dus exclude die van de weergave
host $i| grep "not found:"| grep -v developers.facebook.com
done


$IPTABLES -A OUTPUT -p tcp -d 212.72.224.0/24 --dport 25 -m state --state NEW -j ACCEPT
# IP-adressen lijst toevoegen aan de raw file
$IPTABLES -A OUTPUT -p tcp -d 212.72.229.0/24 --dport 25 -m state --state NEW -j ACCEPT
cat $HOSTSIP4 >> $HOSTSV4RAW
cat $HOSTSIP6 >> $HOSTSV6RAW


# raw files strippen van lege regels en alle IP-adressen op eigen regel zetten
cat $HOSTSV4RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV4
cat $HOSTSV6RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV6


### ids svn mag
#raw files opruimen
$IPTABLES -A OUTPUT -p tcp -d 212.72.224.125 --dport 8500 -m state --state NEW -j ACCEPT
rm $HOSTSV4RAW $HOSTSV6RAW
</pre>


=== /usr/local/hobbynet/bin/getip-ftp ===
Dit script maakt van de allow_ftp allow_ftp.ip4 allow_ftp.ip6 een lijst van toegestane
<pre>
#!/bin/sh
#
#  Dit script zorgt voor de vertaling van domein namen naar IP-adressen
#  (zowel IPv4 als IPv6) voordat de firewall wordt gestart of herstart
#
#
UL_FW="/usr/local/hobbynet/firewall"
HOSTS="$UL_FW/$1/allow_ftp"
HOSTSIP4="$UL_FW/$1/allow_ftp.ip4"
HOSTSIP6="$UL_FW/$1/allow_ftp.ip6"


# icmp is harmless:
ETC_FW="/etc/hobby-firewall"
$IPTABLES -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
HOSTSV4RAW="$ETC_FW/allow_ftp.v4raw"
HOSTSV6RAW="$ETC_FW/allow_ftp.v6raw"
HOSTSV4="$ETC_FW/allow_ftp.v4"
HOSTSV6="$ETC_FW/allow_ftp.v6"


# check if $HOSTS exists
if [ ! -e $HOSTS ] ; then
  echo "$HOSTS ontbreekt: geen nieuwe IP-bestanden gemaakt!!"
  exit 1
fi


$IPTABLES -A OUTPUT -s 212.72.224.41 -d 212.72.224.41 -m state --state NEW -j ACCEPT
if [ -e $HOSTSV4 ] ; then
$IPTABLES -A OUTPUT -s 212.72.224.105 -d 212.72.224.105 -m state --state NEW -j ACCEPT
  rm $HOSTSV4
$IPTABLES -A OUTPUT  -s 127.0.0.1 -d 127.0.0.1 -m state --state NEW -j ACCEPT
fi
if [ -e $HOSTSV4RAW ] ; then
  rm $HOSTSV4RAW
fi
if [ -e $HOSTSV6 ] ; then
rm $HOSTSV6
fi
if [ -e $HOSTSV6RAW ] ; then
  rm $HOSTSV6RAW
fi


echo "Generating FTP IPv4 address file and IPv6 address file from $HOSTS"


#inten naar extern mag
for i in `cat $HOSTS`
$IPTABLES -A OUTPUT -p tcp -d 212.72.229.0/24 --dport 80 -m state --state NEW -j ACCEPT
do
server_ip=`host $i |grep address | grep -v IPv6|awk '{printf "%s\n",$4}'`
echo $server_ip >> $HOSTSV4RAW
server_ip=`host $i |grep address | grep IPv6  |awk '{printf "%s\n",$5}'`
echo $server_ip >> $HOSTSV6RAW


#rss fees van hcc mag
# Geef niet te resolven namen op de console weer
$IPTABLES -A OUTPUT -p tcp -d www.hcc.nl --dport 80 -m state --state NEW -j ACCEPT
# developers.facebook.com wordt wel gevonden maar geeft ook 'not found' dus exclude die van de weergave
host $i| grep "not found:"| grep -v developers.facebook.com


#ftp en http naar debian.bit.nl en nl.archive.ubuntu.com
done
$IPTABLES -A OUTPUT -p tcp -d debian.bit.nl --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d debian.bit.nl --dport 80 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d nl.archive.ubuntu.com --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d nl.archive.ubuntu.com --dport 80 -m state --state NEW -j ACCEPT


#httpen ftp naar security.debian.org en security.ubuntu.com mag
# IP-adressen lijst toevoegen aan de raw file
$IPTABLES -A OUTPUT -p tcp -d security.debian.org --dport 80 -m state --state NEW -j ACCEPT
cat $HOSTSIP4 >> $HOSTSV4RAW
$IPTABLES -A OUTPUT -p tcp -d security.debian.org --dport 21 -m state --state NEW -j ACCEPT
cat $HOSTSIP6 >> $HOSTSV6RAW
$IPTABLES -A OUTPUT -p tcp -d security.ubuntu.com --dport 80 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d security.ubuntu.com --dport 21 -m state --state NEW -j ACCEPT


# raw files strippen van lege regels en alle IP-adressen op eigen regel zetten
cat $HOSTSV4RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV4
cat $HOSTSV6RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV6


### ftp naar scp mag
#raw files opruimen
$IPTABLES -A OUTPUT -p tcp -d  scp.hobby.nl --dport 21 -m state --state NEW -j ACCEPT
rm $HOSTSV4RAW $HOSTSV6RAW
</pre>


== installatie nieuwe firewall ==
Zorg er voor dat volgende mount points er zijn :
* /usr/local/hobbynet/firewall/general
* /usr/local/hobbynet/bin


# No other incoming tcp-connections (send RST):
Indien gebruik wordt gemaakt wordt van 'allow_http' en 'allow_ftp' dan moet commentaar uit de rules file worden verwijderd en moet ook het volgende mount point er zijn :
$IPTABLES -A OUTPUT -p tcp -j REJECT
* /usr/local/hobbynet/firewall/naamserver(groep)
 
# Default rule: drop *all* other traffic silently
$IPTABLES -A OUTPUT -j DROP
 


''' indien er een lokale /usr/local/hobbynet/bin directory is dan moeten daar de volgende files naar toe gekopieerd worden:
* getip_http
* getip_ftp
* get_ip4
* get_ip6


<pre>
cp /usr/local/hobbynet/firewall/general/hobby-firewall /etc/init.d/hobby-firewall
mkdir /etc/hobby-firewall
cp /usr/local/hobbynet/firewall/general/rules  /etc/hobby-firewall
cp /usr/local/hobbynet/firewall/general/rules6 /etc/hobby-firewall
chmod 600 /etc/hobby-firewall/*
</pre>
</pre>
== rules6 ==
<pre>
#####
#
# $Id: $
#
# In /etc/init.d/bit-firewall, some BIT IP's are granted full access by
# default. This is to make sure that BIT can always access your machine from
# our admin-network. When upgrading the bit-firewall package, we will always
# overwrite that file. If you don't want BIT IP's to have full access, please
# uninstall the 'bit-firewall' package. Please remember that it could be a
# problem for BIT to connect to your machine in that case and that you may
# not have a working firewall anymore.
#
#####
# If you'd want to open TCP ports, uncomment the lines below:
$IP6TABLES -A INPUT -p tcp --dport 22 -j ACCEPT
# $IP6TABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IP6TABLES -A INPUT -p tcp --dport 80 -j ACCEPT
# $IP6TABLES -A INPUT -p tcp --dport 110 -j ACCEPT
$IP6TABLES -A INPUT -p tcp --dport 443 -j ACCEPT


# DNS and NTP should be working:
Pas hierna de rule files nog aan zodat ze geschikt zijn deze server.
$IP6TABLES -A INPUT -p udp -s 2001:7b8:3:2c::/63 --sport 53 -j ACCEPT
$IP6TABLES -A INPUT -p udp -s 2a02:968:1:2:212:72:224:8 --sport 53 -j ACCEPT
$IP6TABLES -A INPUT -p udp -s 2a02:968:1:2:212:72:224:9 --sport 53 -j ACCEPT
$IP6TABLES -A INPUT -p udp -s 2001:7b8:3:2c::/63 --sport 123 -j ACCEPT
$IP6TABLES -A INPUT -p udp -s 2a02:968:1:1::/64 --sport 123 -j ACCEPT
$IP6TABLES -A INPUT -p udp -s 2a02:968:1:2::/64 --sport 123 -j ACCEPT


 
== synchronisatie naar server zonder mounts ==
# No incoming tcp packets to privileged ports:
4 x op een dag wordt door scripting naar diverse servers die geen mounts hebben de work directory van de firewall gesynchroniseerd en de firewall herstart. Zodat deze ook up2date blijven en bekend zijn met known offenders. Servers in dit script:
$IP6TABLES -A INPUT -p tcp --dport :1024 -j DROP
* ns3
 
* store1 (zowel store1 als store2, omdat de inactieve server geen mounts heeft)
# No incoming udp packets to privileged ports:
* store2 (zowel store1 als store2, omdat de inactieve server geen mounts heeft)
$IP6TABLES -A INPUT -p udp --dport :1024 -j DROP
 
# Default rule: accept *all* other traffic
$IP6TABLES -A INPUT -j ACCEPT
</pre>

Latest revision as of 19:15, 5 October 2011

[aanzet om de nieuwe firewall implementatie te beschrijven]

Omdat er steeds terugkerende delen in de firewalls werden gezet, is gekeken of deze delen uit het standaard 'rules' en 'rules6' bestand gelicht konden worden, en in aparte bestanden ondergebracht.

Daarnaast bleek dat met name in de IPv6 firewall het gebruik van domeinnamen (in plaats van directe IP-adressen) soms tot heftige vertraging leidde (IPv6 reverse DNS is lang niet altijd ingeregeld, en die wordt aangesproken als je ip6tables zelf de vertaling uit laat voeren).

De vertaling van domein namen naar IP-adressen is nu in een apart script opgenomen. Dit script wordt eerst uitgevoerd, daarna pas wordt iptables gestopt en gestart.

WORK IN PROGRESS!


waar staan de files en waar dienen ze voor

lokale files

  • /etc/init.d/hobby-firewall (het init script)
  • /etc/hobby-firewall/rules (de lokale IPv4 rules file)
  • /etc/hobby-firewall/rules6 (de lokale IPv6 rules file)
  • /etc/hobby-firewall/hobby-firewall.local (stuur script voor omzetten van hostnamen van websites en ftp adressen)

symlinks centraal beheerde files voor die server specifiek

Deze staan in /usr/local/hobbynet/firewall/

  • /etc/hobby-firewall/allow_http (symlink naar de file met de websites waarnaar de server mag connecten)
  • /etc/hobby-firewall/allow_ftp (symlink naar de file met de ftpservers waarnaar de server mag connecten)
  • /etc/hobby-firewall/allow_http.ip4 (symlink naar de file met IPv4 adressen van websites waarnaar de server mag connecten)
  • /etc/hobby-firewall/allow_ftp.ip4 (symlink naar de file met IPv4 adressen van ftpservers waarnaar de server mag connecten)
  • /etc/hobby-firewall/allow_http.ip6 (symlink naar de file met IPv6 adressen van websites waarnaar de server mag connecten)
  • /etc/hobby-firewall/allow_ftp.ip6 (symlink naar de file met IPv6 adressen van ftpservers waarnaar de server mag connecten)

Scripts gebruikt door firewall

  • /usr/local/hobbynet/bin/getip-http (dit script zet allow_http files om naar lijst met IP-adressen)
  • /usr/local/hobbynet/bin/getip-ftp (dit script zet allow_ftp files om naar lijst met IP-adressen)
  • /usr/local/hobbynet/bin/get_ip4 (dit script kopieert de centraal beheerde ipv4 files met extentie .ip4 naar lokale server)
  • /usr/local/hobbynet/bin/get_ip6 (dit script kopieert de centraal beheerde ipv6 files met extentie .ip6 naar lokale server)

centraal beheerde files

Files die die naar lokale server worden gekopieer worden in de directory geplaatst /etc/hobby-firewall/work dit is overwaring te voorkommen.

  • /usr/local/hobbynet/firewall/general/hobby-firewall ( Het originele init script van de firewall staat hier en niet in bin, want hier kunnen alle servers er bij)
  • /usr/local/hobbynet/firewall/general/knownoffenders.ip4 (lijst bekende onverlaten die wij blokken IPv4)
  • /usr/local/hobbynet/firewall/general/knownoffenders.ip6 (lijst bekende onverlaten die wij blokken IPv6)
  • /usr/local/hobbynet/firewall/general/in_up.ip4 (het bovenste deel van de centraal beheerder incoming firewall rules)
  • /usr/local/hobbynet/firewall/general/in_down.ip4 (het onderste deel van de centraal beheerder incoming firewall rules)
  • /usr/local/hobbynet/firewall/general/out_up.ip4 (het bovenste deel van de centraal beheerder outgoing firewall rules)
  • /usr/local/hobbynet/firewall/general/out_down.ip4 (het onderste deel van de centraal beheerder outgoing firewall rules)

scripts updaten op servers met een eigenen bin

het script /usr/local/hobbynet/bin/update-fw-scripts zorgt er voor dat scripts die nodig zijn voor de firewall worden gekopieerd naar server met een eigen bin. de input file hier voor staat hier : /usr/local/hobbynet/lib/eigenbin

files

/etc/init.d/hobby-firewall

Dit script zorgt er voor dat de firewall wordt gestart en de rules files worden ingelezen en verwerkt.

/etc/hobby-firewall/rules

In de rules file staan naast de lokaal gelden firewall rules ook de includes van de centraal beheerde bestanden.
Het standaard rules file voor een webserver ziet er zo uit : 

#! /bin/bash
#

#####
#
# IPv4 rule file voor hobbynet-firewall
#
#####

PUBIF="eth0"
LOCIF="eth1"

# Inbound established and related traffic is ok:
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# include default incoming rules UP
. $WORK/in_up.ip4

# HTTP/HTTPS are always allowed:
$IPTABLES -A INPUT -p tcp --dport  80  -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443  -m state --state NEW -j ACCEPT

# include default incoming rules DOWN
. /etc/hobby-firewall/in_down.ip4


## OUTPUT ##

# Outbound established and related traffic is ok:
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# include default outgoing rules UP
. $WORK/out_up.ip4

# include http_allow.ip4
. $WORK/http_allow.ip4

# include ftp_allow.ip4
. $WORK/ftp_allow.ip4

# include default outgoing rules DOWN
. $WORK/out_down.ip4

/etc/hobby-firewall/rules6

Volgt nog zodra deze ook gestandaardiseerd is

/etc/hobby-firewall/hobby-firewall.local

Wanneer deze file op server bestaat zorgt deze er voor dat de allow_* files worden omgezet naar IP-adressen, die vervolgens worden toegestaan in de uitgaande firewall. 

#!/bin/bash
# Vertaal domeinnamen naar IP adressen t.b.v. hobby-firewall

# In de onderliggende scripts wordt $MAPNAME vertaald
# naar /usr/local/hobbynet/firewall/$MAPNAME.
# In die map staan de originele 'allow'-bestanden
# die vertaald gaan worden naar een lijst met IP adressen.

MAPNAME=cacert

/usr/local/hobbynet/bin/getip-http $MAPNAME
/usr/local/hobbynet/bin/getip-ftp  $MAPNAME

$MAPNAME geeft aan in welke subdirectory de allow files staan onder /usr/local/hobbynet/firewall

/usr/local/hobbynet/bin/getip-http

Dit script maakt van de bestanden allow_http, allow_http.ip4 en allow_http.ip6 een lijst met daarin de IP-adressen van toegestane webservers. 

#!/bin/sh
#
#  Dit script zorgt voor de vertaling van domein namen naar IP-adressen 
#  (zowel IPv4 als IPv6) voordat de firewall wordt gestart of herstart
#
#
UL_FW="/usr/local/hobbynet/firewall"
HOSTS="$UL_FW/$1/allow_http"
HOSTSIP4="$UL_FW/$1/allow_http.ip4"
HOSTSIP6="$UL_FW/$1/allow_http.ip6"

ETC_FW="/etc/hobby-firewall"
HOSTSV4RAW="$ETC_FW/allow_http.v4raw"
HOSTSV6RAW="$ETC_FW/allow_http.v6raw"
HOSTSV4="$ETC_FW/allow_http.v4"
HOSTSV6="$ETC_FW/allow_http.v6"

# check if $HOSTS exists
if [ ! -e $HOSTS ] ; then
   echo "$HOSTS ontbreekt: geen nieuwe IP bestanden gemaakt!!"
   exit 1
fi

if [ -e $HOSTSV4 ] ; then
 rm $HOSTSV4 
fi
if [ -e $HOSTSV4RAW ] ; then
 rm $HOSTSV4RAW 
fi
if [ -e $HOSTSV6 ] ; then
 rm $HOSTSV6
fi
if [ -e $HOSTSV6RAW ] ; then
 rm $HOSTSV6RAW
fi

echo "Generating http IPv4 address file and IPv6 address file from $HOSTS"

for i in `cat $HOSTS`
do
 server_ip=`host $i |grep address | grep -v IPv6|awk '{printf "%s\n",$4}'`
 echo $server_ip >> $HOSTSV4RAW
 server_ip=`host $i |grep address | grep IPv6   |awk '{printf "%s\n",$5}'`
 echo $server_ip >> $HOSTSV6RAW

 # Geef niet te resolven namen op de console weer
 # developers.facebook.com wordt wel gevonden maar geeft ook 'not found' dus exclude die van de weergave
 host $i| grep "not found:"| grep -v developers.facebook.com
done

# IP-adressen lijst toevoegen aan de raw file
cat $HOSTSIP4 >> $HOSTSV4RAW
cat $HOSTSIP6 >> $HOSTSV6RAW

# raw files strippen van lege regels en alle IP-adressen op eigen regel zetten
cat $HOSTSV4RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV4
cat $HOSTSV6RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV6

#raw files opruimen
rm $HOSTSV4RAW $HOSTSV6RAW

/usr/local/hobbynet/bin/getip-ftp

Dit script maakt van de allow_ftp allow_ftp.ip4 allow_ftp.ip6 een lijst van toegestane 

#!/bin/sh
#
#  Dit script zorgt voor de vertaling van domein namen naar IP-adressen 
#  (zowel IPv4 als IPv6) voordat de firewall wordt gestart of herstart
#
#
UL_FW="/usr/local/hobbynet/firewall"
HOSTS="$UL_FW/$1/allow_ftp"
HOSTSIP4="$UL_FW/$1/allow_ftp.ip4"
HOSTSIP6="$UL_FW/$1/allow_ftp.ip6"

ETC_FW="/etc/hobby-firewall"
HOSTSV4RAW="$ETC_FW/allow_ftp.v4raw"
HOSTSV6RAW="$ETC_FW/allow_ftp.v6raw"
HOSTSV4="$ETC_FW/allow_ftp.v4"
HOSTSV6="$ETC_FW/allow_ftp.v6"

# check if $HOSTS exists
if [ ! -e $HOSTS ] ; then
   echo "$HOSTS ontbreekt: geen nieuwe IP-bestanden gemaakt!!"
   exit 1
fi

if [ -e $HOSTSV4 ] ; then
 rm $HOSTSV4 
fi
if [ -e $HOSTSV4RAW ] ; then
 rm $HOSTSV4RAW 
fi
if [ -e $HOSTSV6 ] ; then
 rm $HOSTSV6
fi
if [ -e $HOSTSV6RAW ] ; then
 rm $HOSTSV6RAW
fi

echo "Generating FTP IPv4 address file and IPv6 address file from $HOSTS"

for i in `cat $HOSTS`
do
 server_ip=`host $i |grep address | grep -v IPv6|awk '{printf "%s\n",$4}'`
 echo $server_ip >> $HOSTSV4RAW
 server_ip=`host $i |grep address | grep IPv6   |awk '{printf "%s\n",$5}'`
 echo $server_ip >> $HOSTSV6RAW

 # Geef niet te resolven namen op de console weer
 # developers.facebook.com wordt wel gevonden maar geeft ook 'not found' dus exclude die van de weergave
 host $i| grep "not found:"| grep -v developers.facebook.com

done

# IP-adressen lijst toevoegen aan de raw file
cat $HOSTSIP4 >> $HOSTSV4RAW
cat $HOSTSIP6 >> $HOSTSV6RAW

# raw files strippen van lege regels en alle IP-adressen op eigen regel zetten
cat $HOSTSV4RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV4
cat $HOSTSV6RAW | tr ' ' '\n'| sed '/^$/d'  > $HOSTSV6

#raw files opruimen
rm $HOSTSV4RAW $HOSTSV6RAW

installatie nieuwe firewall

Zorg er voor dat volgende mount points er zijn :

  • /usr/local/hobbynet/firewall/general
  • /usr/local/hobbynet/bin

Indien gebruik wordt gemaakt wordt van 'allow_http' en 'allow_ftp' dan moet commentaar uit de rules file worden verwijderd en moet ook het volgende mount point er zijn :

  • /usr/local/hobbynet/firewall/naamserver(groep)

indien er een lokale /usr/local/hobbynet/bin directory is dan moeten daar de volgende files naar toe gekopieerd worden:

  • getip_http
  • getip_ftp
  • get_ip4
  • get_ip6
cp /usr/local/hobbynet/firewall/general/hobby-firewall /etc/init.d/hobby-firewall
mkdir /etc/hobby-firewall
cp /usr/local/hobbynet/firewall/general/rules  /etc/hobby-firewall
cp /usr/local/hobbynet/firewall/general/rules6 /etc/hobby-firewall
chmod 600 /etc/hobby-firewall/*

Pas hierna de rule files nog aan zodat ze geschikt zijn deze server.

synchronisatie naar server zonder mounts

4 x op een dag wordt door scripting naar diverse servers die geen mounts hebben de work directory van de firewall gesynchroniseerd en de firewall herstart. Zodat deze ook up2date blijven en bekend zijn met known offenders. Servers in dit script:

  • ns3
  • store1 (zowel store1 als store2, omdat de inactieve server geen mounts heeft)
  • store2 (zowel store1 als store2, omdat de inactieve server geen mounts heeft)
Retrieved from "https://wiki.hobby.nl/index.php?title=Hobby-firewall&oldid=4603"