IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> linux大量屏蔽恶意ip地址 -> 正文阅读

[系统运维]linux大量屏蔽恶意ip地址

linux批量屏蔽ip地址

在很多情况下,我们需要屏蔽一些IP地址,不让其访问使用。

比如:禁止垃圾ip地址访问公司的邮件服务器,禁止某些国家访问你的web 服务。

这种情况下,一个一个ip的封锁显然是不可取的,会浪费大量时间。

那该如何处理呢?

1、netfilter/iptables关系:

首先我们linux的服务器有自带内核级的防火墙 Netfilter/IPtables

  • netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。

  • iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序,它使插入,修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。

在linux里面,我们可以很简单的用netfilter/iptables框架禁止IP地址:

#屏蔽一个ip
iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
#屏蔽一个ip段
iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
#关闭端口,不让外部访问
iptables -I INPUT -p tcp --dport 80 -j DROP
#指定某个IP可以访问80端口:
iptables -I INPUT -s 192.168.1.80 -p tcp --dport 80 -j ACCEPT

这些操作在linux中都是非常容易办到的。

那当你要封禁1000个独立ip呢?这时你得要有1000条iptable规则。这显然这并不适于大规模屏蔽。

2、什么是ip集:

IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。

一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。

3、安装ipset工具:

#安装ipset
yum install ipset
#创建一个新的ipset集合:
ipset create aa hash:net
ipset create bb hash:ip

IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。

#查询集合的条目
ipset list
ipset list aa

默认,每个IP集合可以包含65536个元素(这里是CIDR块)。

这里可以自己添加元素限制:

ipset create aa hash:net maxelem 100000

向集合中添加条目:

ipset add aa 2.2.2.2
ipset add aa 192.168.10.21-192.168.10.31
ipset add aa 192.168.2.0/24 #添加ip段

#查询条目
ipset list aa

检查目标ip是否在ipset集合中:

ipset test aa 1.1.1.1

删除条目:

ipset del aa 1.1.1.1

清空ipset中所有集合的ip条目(删条目,不删集合):

ipset flush aa
#删除ipset中的某个集合或者所有集合:
ipset destroy aa

set types类型集合:

支持的类型有:ip, net, mac, port, iface,即除了ip外,还可以是网络段,端口号(支持指定 TCP/UDP 协议),mac 地址,网络接口名称,或者多种。

hash:ip,port
ipset create aa hash:ip,port
ipset add aa 1.1.1.1,22	

4、使用ip集:

iptables使用ip集,这里的关键是使用"-m set --match-set "选项。

iptables -I INPUT -m set --match-set aa src -p tcp --destination-port 80 -j DROP

配置保存:

#保存ipset规则
ipset save aa -f aa.txt
#删除ip集合
ipset destroy aa
#导入ipset规则
ipset restore -f aa.txt
  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-07-17 17:01:55  更:2022-07-17 17:03:47 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 11:39:56-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码