Gregory's ServerС задачей неплохо справляется скриптик pf-badhost, в блок листе которого, почти 650млн IP буратин, он собирается из Spamhaus, Firehol, Emerging Threats и Binary Defense, которые достаточно часто обновляются.
Настроить все просто:
Создаем пользователя
useradd -s /sbin/nologin -d /var/empty _pfbadhostСкачиваем и устанавливаем скриптик и нужные файлы:
ftp https://geoghegan.ca/pub/pf-badhost/0.5/pf-badhost.sh
install -m 755 -o root -g bin pf-badhost.sh /usr/local/bin/pf-badhost
install -m 640 -o _pfbadhost -g wheel /dev/null /etc/pf-badhost.txt
install -d -m 755 -o root -g wheel /var/log/pf-badhost
install -m 640 -o _pfbadhost -g wheel /dev/null /var/log/pf-badhost/pf-badhost.log
install -m 640 -o _pfbadhost -g wheel /dev/null /var/log/pf-badhost/pf-badhost.log.0.gzДаем права _pfbadhost права запускать скрипт от superuser(вот тут как-то неприятно)
# cat /etc/doas.conf
permit root
permit nopass _pfbadhost cmd /sbin/pfctl args -nf /etc/pf.conf
permit nopass _pfbadhost cmd /sbin/pfctl args -t pfbadhost -T replace -f /etc/pf-badhost.txtpermit nopass _pfbadhost cmd /usr/bin/zcat args -f /var/log/authlog /var/log/authlog.0.gz
4. Настраиваем PF(/etc/pg.conf):table <pfbadhost> persist file “/etc/pf-badhost.txt” block in quick on egress from <pfbadhost> block out quick on egress to <pfbadhost>
5. Запускаем скрипт от имени пользователя `_pfbadhost`:doas -u _pfbadhost pf-badhost -O openbsd
6. Перезагружаем правила в pf и проверяем, что все работает:pfctl -f /etc/pf.conf doas -u _pfbadhost pf-badhost -O openbsd
7. Добавляем запуск в crontab:0 * -s pf-badhost -O openbsd
И наконец полезные командочки как этим управлять вручную:pfctl -t pfbadhost -T show # тут будет дохренища строк
pfctl -t pfbadhost -T add 192.168.0.1 pfctl -t pfbadhost -T add 192.168.0.0/16
pfctl -t pfbadhost -T delete 192.168.0.0/16
pfctl -t pfbadhost -T test 192.168.0.1