# wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
# wget http://centos.alt.ru/repository/centos/5/i386/centalt-release-5-3.noarch.rpm
# rpm -iv epel-release-5-3.noarch.rpm
# rpm -iv centalt-release-5-3.noarch.rpm
# yum check-update

Если у вас x86_64 архитектура, то просто смените i386 на x86_64 в ссылках.
Теперь можно поставить модуль ядра и утилиту ipset, после проверяем все ли работает:

# yum install kmod-ipset.i688 ipset.i386
# modprobe ip_set
# lsmod | fgrep ip_set
ip_set                 23708  0
# ipset -V
ipset v2.5.0 Protocol version 2.
# iptables -m set -h
iptables v1.3.5: Couldn't load match `set':/lib/iptables/libipt_set.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

Не все так гладко, как хотелось бы! Модуль и утилита ipset есть, а iptables не может с ней работать. Дело в версии iptables, нужна версия старше 1.4, но в CentOS ее нет. Так что придется все же пойти на определенные жертвы. Будем ставить iptables из сорцов. Сносим “родной” iptables и ставим более новую версию. Перед этим добавляем в систему gcc, если еще нет:

# cp /etc/init.d/iptables /root/
# yum erase iptables
# yum install gcc
# cd /usr/src/
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.7.tar.bz2
# tar xjf iptables-1.4.7.tar.bz2
# cd iptables-1.4.7
# ./configure
# make
# make install
# hash -r

Создаем тестовую таблицу и проверяем, что все работает:

# ipset -N badip iphash
# ipset -A badip 10.10.1.10
# iptables -A INPUT -p icmp -m set --set badip src -j DROP
# iptables -vL
Chain INPUT (policy ACCEPT 24372 packets, 2261K bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   240 DROP       icmp --  any    any     anywhere             anywhere            match-set badip src

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 489 packets, 45302 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (0 references)
 pkts bytes target     prot opt in     out     source               destination

Теперь про ложку дегтя, как же без нее. После удаления родного iptables и установки нового произошло несколько неприятных событий:
1) По умолчанию iptables из сорцов ставится в /usr/local/sbin/iptables, в родной был в /sbin/iptables. В принципе не проблема пересобрать нужными опциями (внимательно смотрим ./configure –help)
2) При удалении родного iptables, удаляется и /etc/init.d/iptables, так что я его я специально сохранил
3) Удаляется несколько полезный утилит типа iptstate
4) Все эти суммарные изменения могут где-нибудь неожиданно вылезти, так что перед вводом сервера в продакшен нужно очень хорошо все проверить.

UPDATE!!!
В репозитории CentAlt есть обновление для iptables с поддержкой ipset, так что достаточно

# yum update iptables

чтобы все заработало!

block in quick on $if inet proto tcp from to $me port 80

Как красиво выглядит такое правило в PF по сравнению с ужасным аналогом в iptables:

$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 192.168.0.1 -d $me –dport 80 -j DROP
$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 192.168.4.1 -d $me –dport 80 -j DROP
$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 10.10.0.1 -d $me –dport 80 -j DROP
$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -s 10.0.1.1 -d $me –dport 80 -j DROP
…

И так далее. Более того, проверка каждого нового правила – это лишняя нагрузка на процессор, так что если у вас несколько тысяч правил, то не удивляйтесь idle процессора, равного 0 процентов… В общем такое положение дел в iptables меня долго отпугивало от него. Но не так давно я нашел проект http://ipset.netfilter.org/ , который дает весь функционал таблиц PF и даже больше!

Настройка вся ведется на gentoo, так что мне не пришлось патчить ядро и пересобирать его:

emerge ipset
modprob ipt_set

Теперь у нас есть и работает ipset. В ipset нет таблиц, а есть set различных типов. Типы позволяют задавать ip адреса из определенной подсети (ipmap тип), связки ip адресов с MAC адресами (macipmap), порты из заданного диапазона (portmap), набор ip адресов или сетей (iphash, nethash), разные комбинации этих set-ов, или даже хранить ip адреса в set только определенное время (iptree). Более подробно советую посмотреть man ipset(8).

Для нашей задачи подходит тип iphash. Создаем set с именем badip, и смотрим его содержимое:

# ipset -N badip iphash
# ipset -L badip
Name: test
Type: iphash
References: 0
Default binding:
Header: hashsize: 1024 probes: 8 resize: 50
Members:
Bindings:

Добавляем несколько ip в badip и смотрим содержимое set

# ipset -A badip 192.168.0.1
# ipset -A badip 10.10.0.1
# ipset -L test
Name: test
Type: iphash
References: 0
Default binding:
Header: hashsize: 1024 probes: 8 resize: 50
Members:
192.168.0.1
10.10.0.1
Bindings:

Удаляем ip из set

# ipset -D badip 192.168.0.1
# ipset -L test
Name: test
Type: iphash
References: 0
Default binding:
Header: hashsize: 1024 probes: 8 resize: 50
Members:
10.10.0.1
Bindings:

Проверяем, есть ли ip в set

# ipset -T badip 10.10.0.1
10.10.0.1 is in set test.

Удаляем все ip из set

# ipset -F badip

Удаляем сам set

# ipset -X badip

Теперь, когда мы разобрались с основными командами ipset нужно научиться использовать его в iptables, перепишем правило iptables:

$IPTABLES -A INPUT -i eth1 -p tcp -m tcp -d $me -m set –set badip src –dport 80 -j DROP

Т.е. мы подключили модуль set (-m set), потом указали какой set использовать (–set badip src). src – это флаг, который показывает какие ip сравнивать с set, src или dst . Если нужно проверить и src и dst, то флаг задается так src,dst. В результате использования ipset можно упросить и само написание правил и быстродействие фаервола в целом.

В gentoo установить модуль очень просто. Сперва посмотрим его описание:

emerge -s ipp2p

Теперь поставим модуль:

emerge ipp2p

Проверяем, что модуль подгрузился:

lsmod | fgrep ipt_ipp2p

И если его нет, подгрузим

modprobe ipt_ipp2p

Теперь можно посмотреть помощь к модулю.

iptables -m ipp2p --help

Теперь собственно работа. Я предпочитаю не запрещать сразу, а быть в курсе происходящего. Потому поместим в цепочку FORWARD такое правило:

iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "

Значение –ipp2p эквивалентно срабатыванию правила для всех известных типов P2P трафика. При срабатывании правила в syslog-ng будет писать в /var/log/messages сообщение (у меня так настроен syslog-ng, чтобы все попадало в messages). Осталась последняя часть – отчеты.

#!/bin/bash
export PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin:/usr/i486-pc-linux-gnu/gcc-bin/4.1.2:/usr/i686-pc-linux-gnu/gcc-bin/4.1.2'
export LOG=/var/log/.p2p.report
export TO=some@mail.zone
export FROM=root@server.zone

echo "From: ${FROM}" > ${LOG}
echo "To: ${TO}" >> ${LOG}
echo "Subject: `hostname -a` P2P report `date +%Y-%m-%d`" >> ${LOG}
echo "Content-type: text/plain" >> ${LOG}
echo "" >> ${LOG}
echo "" >> ${LOG}
echo "Report mask:" >> ${LOG}
echo "COUNT DATE SRC" >> ${LOG}
echo "" >> ${LOG}

fgrep p2p /var/log/messages | awk '{print $1" "$2" "$9}' | sort | uniq -c >> ${LOG}

cat ${LOG} | sendmail -i -f ${FROM} ${TO}
rm -f ${LOG}

Можно поставит этот скрипт в крон, чтобы получать отчеты каждый день или час.

Последний штрих, добавить модуль в автозагрузку

echo ipt_ipp2p >> /etc/modules.autoload.d/kernel-2.6

И сохранить правило в стартап скрипте iptables

/etc/init.d/iptables save

Дополнительно информация на сайте модуля