// IP-Security · iptables · Januar 2026 · 12 min Lesezeit
⚠️ Für Fortgeschrittene: Diese Anleitung setzt Linux-Kenntnisse und root-Zugang voraus. Lies den BEWARE-Hinweis, bevor du die Liste produktiv einsetzt.

Was ist die BadGuys-Blocklist?

Die BadGuys.txt ist eine IP-Adress-Blocklist – keine DNS-Liste für Werbung, sondern eine Liste bekannter Angreifer: Malware-C2-Server, Botnet-Knoten, Port-Scanner, Brute-Force-Quellen. Sie enthält IPv4- und IPv6-Einzeladressen (/32, /128) sowie aggregierte CIDR-Netzwerke. Die Liste wird alle 37 Minuten automatisch aktualisiert.

⚠️ BEWARE – unbedingt lesen

Die Liste enthält private Adressbereiche (192.168.0.0/16, 10.0.0.0/8) und Don't-Route-Or-Peer-Listen. Nur am Internet-Ingress/Egress einsetzen – niemals blind im internen Netz anwenden. Falsch eingesetzt kannst du dich selbst aussperren.

Voraussetzungen

  • Linux mit root-Zugang
  • ipset: apt install ipset
  • iptables / ip6tables
  • wget

IPv4-Einzeladressen blockieren

# Liste laden wget https://www.bytewehr.de/downloads/BadGuys.txt -O BadGuys.txt # ipset erstellen (einmalig) ipset create bw_blacklist_ipv4 hash:ip hashsize 262142 maxelem 262142 # IPs eintragen (/32 → Einzeladressen) grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}/32\b" BadGuys.txt | \ sed 's/\/32$//' | \ while read ip; do ipset -A bw_blacklist_ipv4 $ip 2>/dev/null; done # iptables-Regeln iptables -I INPUT -m set --match-set bw_blacklist_ipv4 src -j DROP iptables -I OUTPUT -m set --match-set bw_blacklist_ipv4 dst -j DROP iptables -I FORWARD -m set --match-set bw_blacklist_ipv4 src -j DROP iptables -I FORWARD -m set --match-set bw_blacklist_ipv4 dst -j DROP

Automatisches Update per Cron (alle 37 Min.)

Das vollständige Update-Skript mit atomic swap (kein Downtime, keine Lücken) findest du in der offiziellen Dokumentation. Cron-Eintrag:

*/37 * * * * /usr/local/bin/update_badguys.sh >> /var/log/badguys.log 2>&1

Download

Immer aktuelle Liste: https://www.bytewehr.de/downloads/BadGuys.txt