我應該如何在 OpenBSD 上配置 /etc/host.allow 以只允許給定的 IP？

我有一個執行基於 html 的靜態網站的 OpenBSD 5.1 機器。

我有一個我想要允許的 IP 地址列表，例如：

...
78.128.49.0/24
78.128.50.0/24
...

這是一個~10 KB。約 10 000 行。我只想允許這些 IP 地址，而不是聯繫伺服器（httpd、ssh、任何東西，甚至是未使用的埠）。

問：在 host.allow/host.deny 文件中執行此操作的最佳語法是什麼？（AFAIK 最好將 10 000 個 IP 地址範圍放在一個文件中，然後將它們放在防火牆中..）

使用 OpenBSD 的 實現tcpwrappers，我認為您需要在 中包含您的每個地址/etc/hosts.allow，如果有 10k 個條目，很快就會變得非常笨重。

ALL : ... 78.128.49.0/24 78.128.50.0/24 ... : deny

在這成為管理的噩夢之前，它不需要很多行。請注意，地址用空格或逗號分隔，或兩者兼而有之。

如果您已pf配置並執行，您可能會發現從地址文件的內容中填充表格更容易：

table <blockthese> persist file /etc/list-of-addresses-to-block

block in log quick on $ext_if from <blockthese> to any

查找表pf的速度很快，而且表在記憶體使用方面非常有效，所以除非您在舊機器上的 RAM 數量非常有限，否則這應該可以正常工作 - 這是我在眾多 FreeBSD 主機上使用的策略，它效果很好。

引用自：https://unix.stackexchange.com/questions/68692