このサイトにもさまざまな不正アクセスがされ、ログに記録されている。
今までも定期的にログから不正アクセス元のIPアドレスを遮断してきたのだが、先日チェックすると新規の不正アクセスアドレスが大量に記録された。
その都度、不正アドレスとして登録するのも面倒になり、中国からのアクセスを全て遮断することにした。
アドレス登録にはipsetを使っているが、エントリーには最大で65535個のアドレスが登録できる。
もちろん、アドレスはCIDR形式でレンジ登録できるのだが、ipsetのエントリをhash:ip形式にするとCIDR形式のアドレスがそのレンジのIPに展開されてしまうようで、65535を使い切ってしまうようだ。
hash:net形式にすれば、CIDRのままで1エントリーとなるので、余裕で登録できる。
iptablesはnftablesに切り替わっていくだろう。
nftablesはipsetのエントリーと連携できないので、そのときにはipsetの登録内容をnftablesに移行しないといけない。
ubuntuの次のltsである22.04に移行するときにはまだiptablesが使えるようだ。