Hvordan kan jeg blokkere et helt IP range med iptables

Har ikke noen bøker eller slik med meg her, men det må vel bli omtrent slik:

iptables -A INPUT -s 171.75.0.0 -j ACCEPT
iptables -A FORWARD -s 171.75.0.0 -j ACCEPT

Mon ikke dette skulle stanse alle fra 171.75.0.0 Kan du teste ut, eventuuelt også med en kjent avsender, en venn eller noen som du kjenner som du kan forsøke å stenge ute !!??

Huff, feiltrykk !!

iptables -A INPUT -s 171.75.0.0 -j DROP
iptables -A FORWARD -s 171.75.0.0 -j DROP

Har du testet ? Tror 171.75.0.0 skal gi blokkering for 171.75.x.x men er ikke helt sikker på at det stemmer. Tror det.

Jeg skal lige forsøge det først. Håber at teste det i morgen aften.

Nej, sorry langbein. Det fungerer ikke

tror at grunnen til at det ikke fungerer kanskje er at subnettmasken mangler. Dette er jeg ikke sikker på, men mon det skulle fungere hvis man for eksempel skiver 171.75.0.0/255.255.0.0 dvs alle ip'er fra nettverk 171.75 (???)

Jo, det ser ut til å være slik. Har sjekket med "Linux firewalls, second edition". I scriptene her så ser det ut som om man har stengt ute serier av ip adresser ved å angi subnet på denne måten. Man har imidlerid angitt subnett på "kortform" 255.255.0.0 = /16 og 255.0.0.0 = /8 osv. Se øverst i scriptet.
http://www.linux-firewall-tools.com/ftp/firewall/gateway.firewall.3
(Scriptet er fra boken.) http://www.linux-firewall-tools.com/book/

Feil script referanse, rettelse, eksempel:

http://www.linux-firewall-tools.com/ftp/firewall/optimized.firewall.2

CLASS_A="10.0.0.0/8"                # class A private networks

iptables -A source-address-check -s $CLASS_A -j DROP

Husker aldri teorien om subnettmasker og må alltid slå etter, men det står bra forklart her:
http://www.net-faq.dk/faq.pl?get=ip

thx