<div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace;display:inline">​Hallo,<br><br>Bjoern Meier schrieb:<br></div>> > Mit Ipset nur eine Regel !<br>><br>> Dann habe ich das missverstanden. Ich habe das so verstanden, dass man<br>
> eine Chain in mit iptables in Netfilter anlegt und diese Chain<br>> gefüttert wird. Scheint mir auch<br>> logisch. Wie kann man mit einer<br>> einzigen Regel mehrere IPs filtern?<br><br><div class="gmail_default" style="font-family:courier new,monospace;display:inline">
​Das ist ja durchaus richtig mit der Chain aber netfilter durchläuft diese Chain bis es die Anweisung bekommt diese zu verlassen (sei es wegen einem Match der zur ACTION springt oder weil man das Ende erreicht hat und zur übergeordneten Chain zurück springt.<br>
<br></div><div class="gmail_default" style="font-family:courier new,monospace;display:inline">D.h. du hast deine INPUT Chain zwar sauber... aber da du ja jeden Ankömmling durch deine fail2ban Chain jagst (willst ja schließlich schauen ob diese IP durch fail2ban gesperrt werde) so muss hier eben *JEDE* Regel durchlaufen werden. Das macht netfilter so langsam.<br>
<br>Hier greift eben ipset. Ein ipset abzufragen geht in MS.<br><br></div><div class="gmail_default" style="font-family:courier new,monospace;display:inline">D.h. in netfilter hast du nur eine einzige Regel hierfür (den match gegen das ipset)... dann ist der fail2ban Kram abgearbeitet.<br>
<br><br>-- <br></div><div class="gmail_default" style="font-family:courier new,monospace;display:inline">Ich Grüße,<br></div><div class="gmail_default" style="font-family:courier new,monospace;display:inline">Igor<br><br>
</div></div>