03.22
Die Export-Listen von blocklist sind ja je nach Angriffe und Tagesform größer. Die all.txt kann da schon mal 30.000 IP-Adressen gelistet sein.
Da kann der Import in eine Firewall schon mal etwas dauern 😐
Auf Anfrage haben wir nun ein Skript gebaut, welches nur die neuen IP-Adressen ausgibt, die nach xx-Uhr hinzugekommen sind.
Dies kann ganz einfach über folgende URL aufgerufen werden:
https://api.blocklist.de/getlast.php?time=18:00
https://api.blocklist.de/getlast.php?time=18.30
https://api.blocklist.de/getlast.php?time=1332437269
Statt 18:00 Uhr kann man auch einen Unix-Zeitstempel oder nur die Stunde nutzen: $time=08
Wenn kein Fehler vorliegt, wird die Ausgabe als plain/text ausgegeben und kann wie die Download-Listen importiert werden.
Man sollte trotzdem vor dem Sperren noch prüfen, ob die IP nicht bereits per iptables gelistet ist.
[UPDATE 02.06.2012]
Mit $service= kann man die Ausgabe noch weiter auf nur bestimmte Dienste eingrenzen:
https://api.blocklist.de/getlast.php?time=18.30&service=mail
Der User Kapsonfire hat im Forum eine Anleitung geschrieben, wie man die IPs bei Fail2Ban imporieren und so zeitgesteuert sperren kann: