Paul Muster <
exp-3...@news.muster.net> wrote:
> Am 08.06.2021 um 08:44 schrieb Sven Hartge:
>> Paul Muster <
exp-3...@news.muster.net> wrote:
>>> On 07.06.21 19:32, Marc Haber wrote:
>>>> Ich würde vermutlich mit einem Userspace-Daemon alle n Minuten
>>>> abfragen ob sich der DNS-Eintrag geändert hat und dann den
>>>> Paketfilter neu bauen.
>>
>>> Genau.
>>
>>> Bei iptables würde man mit -N <chain> eine eigene chain erstellen,
>>> in dieser sehr gezielt mit -I <chain> <rulenum> ... eine bestimmte
>>> Position für die betreffende Regel wählen und mit -R <chain>
>>> <rulenum> ... *genau diese* Regel ändern.
>>
>> Ich würde das via "ipset" machen, weil sich das aus Kernelsicht
>> einfacher ändern läßt, ohne dass intern der Regelsatz neu kompiliert
>> werden muss.
> Was es alles gibt. *staun*
ipset lohnt sich vor allem für sehr sehr große Regelsätze, die sich ohne
großen CPU-Einsatz ändern können sollen und sind effizent für das
schnelle Matchen von Paketen gedacht.
Dinge wie "2.000.000 IP/Port-Kombinationen" sind mit einem ipset kein
Problem, rohes iptables/nft zeigt da schon erste Schwächen.
Dazu kann man jeden Eintrag noch mit einem Timeout versehen, nachdem er
automatisch entfernt wird und schon hat man eine Hälfte von fail2ban
(das Aufräumen der Einträge) in den Kernel verlagert und braucht sich
nicht selbst darum kümmern.