Зараз в мене встановлені iptables, ipset s fail2ban. Все налаштоване, але треба, щоб ipset-набори відновлювалися після перезавантаження. Набори ipset розділені (dirtybots4.set / dirtybots6.set) і лежать в директорії /etc/ipset.d. Як налаштувати відновлення?
Найпростіше зробити так, щоб при кожному старті системи виконувалося відновлення обох наборів з твоїх .set-файлів у /etc/ipset.d/.
Оскільки ipset сам по собі не зберігає набори постійно, треба вручну підвантажувати їх при старті (наприклад через systemd-unit)
Тоді зробимо через systemd unit + timer, щоб:
При старті — відновлювались набори з /etc/ipset.d/*.set.
Кожні 5 хвилин — зберігався актуальний стан у ці файли.
1. Скрипт для відновлення і збереження
Створюємо /usr/local/bin/ipset-maintain.sh:
#!/bin/bash# Відновлення або збереження ipset-наборів# Використання:# ipset-maintain.sh restore - відновити з файлів# ipset-maintain.sh save - зберегти в файлиDIR="/etc/ipset.d"case"$1"inrestore)forfin"$DIR"/*.set;do[-f"$f"]&&/usr/sbin/ipsetrestore-file"$f"done;;save)forsetnamein$(/usr/sbin/ipsetlist-name);do/usr/sbin/ipsetsave"$setname">"$DIR/$setname.set"done;;*)echo"Usage: $0 {restore|save}"exit1;;esac
Права на виконання:
2. Юніт для відновлення при старті
Файл /etc/systemd/system/ipset-restore.service:
3. Юніт для збереження
Файл /etc/systemd/system/ipset-save.service:
4. Таймер для збереження кожні 5 хвилин
Файл /etc/systemd/system/ipset-save.timer:
5. Активація
6. Перевірка
Відновлення вручну:
Збереження вручну:
Логи таймера:
Якщо захочеш, я можу додати в цей скрипт автоматичне створення відсутніх наборів перед відновленням, щоб ipset restore не падав, якщо файл є, а набір ще не існує.
Це особливо корисно, коли набір був видалений або сервер чистий після рестарту.
Хочеш, щоб я так дописала?
