Посоветуйте как организовать такое дело, имеется машинка на ней бегает всякое разное в том числе SSH через которое ну рулится она, так вот иногда нужно заблокировать извне к ней доступ для некоторых засранцев, спрашивал у гуру про нуль-руты сказали это извращение и порекомендовали юзать правильные инструменты типа iptables, но вот задачка, добавил я значит в чистый не тронутый iptables пару вот таких вот правил:
iptables -A INPUT -s 62.65.218.245 -j DROP
потом как написано в мане запустил iptables-save мне выдало вот такое:
# Generated by iptables-save v1.4.2 on Sat Feb 5 07:39:15 2011
*filter
:INPUT ACCEPT [1040:112608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [580:65038]
-A INPUT -s 140.128.0.0/13 -j DROP
-A INPUT -s 62.65.218.245/32 -j DROP
COMMIT
# Completed on Sat Feb 5 07:39:15 2011
значит как я понимаю меня впринципе эти правила в таком виде устраивают типа разрешено всё отовсюду и всюду кроме вот тех DROP которые я пропишу в INPUT всё хорошо но вот теперь хочу сделать так чтобы эти правила при перезагрузке сохранялись и наверное хранить ип кого забанил есть смысл без лишнего текста, в голову пришла только такая мысля типа сделать скрипт "псевдокод" (/etc/network/if-pre-up.d/iptables):
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.rules
foreach drop.list as IP
iptables -A INPUT -s $IP -j DROP
endforeach
где в iptables.rules навсякий случай наверное стоит хранить что-то типа
*filter
:INPUT ACCEPT [1040:112608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [580:65038]
COMMIT
или как посоветуют гуру ?