[系统运维]linux大量屏蔽恶意ip地址

linux批量屏蔽ip地址

在很多情况下，我们需要屏蔽一些IP地址，不让其访问使用。

比如：禁止垃圾ip地址访问公司的邮件服务器，禁止某些国家访问你的web 服务。

这种情况下，一个一个ip的封锁显然是不可取的，会浪费大量时间。

那该如何处理呢？

1、netfilter/iptables关系：

首先我们linux的服务器有自带内核级的防火墙 Netfilter/IPtables。

• netfilter：属于“内核态”(Kernel Space， 又称为内核空间)的防火墙功能体系。 是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

• iptables：属于“用户态”(User Space，又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序，它使插入，修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

在linux里面，我们可以很简单的用netfilter/iptables框架禁止IP地址：

#屏蔽一个ip
iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
#屏蔽一个ip段
iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
#关闭端口，不让外部访问
iptables -I INPUT -p tcp --dport 80 -j DROP
#指定某个IP可以访问80端口：
iptables -I INPUT -s 192.168.1.80 -p tcp --dport 80 -j ACCEPT

这些操作在linux中都是非常容易办到的。

那当你要封禁1000个独立ip呢？这时你得要有1000条iptable规则。这显然这并不适于大规模屏蔽。

2、什么是ip集：

IP集是一个内核特性，它允许多个（独立）IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。

一旦IP集创建之后，你可以创建一条iptables规则来匹配这个集合。

3、安装ipset工具：

#安装ipset
yum install ipset
#创建一个新的ipset集合：
ipset create aa hash:net
ipset create bb hash:ip

IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址，你可以使用hash:ip类型。

#查询集合的条目
ipset list
ipset list aa

默认，每个IP集合可以包含65536个元素（这里是CIDR块）。

这里可以自己添加元素限制：

ipset create aa hash:net maxelem 100000

向集合中添加条目：

ipset add aa 2.2.2.2
ipset add aa 192.168.10.21-192.168.10.31
ipset add aa 192.168.2.0/24 #添加ip段

#查询条目
ipset list aa

检查目标ip是否在ipset集合中:

ipset test aa 1.1.1.1

删除条目：

ipset del aa 1.1.1.1

清空ipset中所有集合的ip条目（删条目，不删集合）：

ipset flush aa
#删除ipset中的某个集合或者所有集合：
ipset destroy aa

set types类型集合：

支持的类型有：ip, net, mac, port, iface，即除了ip外，还可以是网络段，端口号（支持指定 TCP/UDP 协议），mac 地址，网络接口名称，或者多种。

hash:ip,port
ipset create aa hash:ip,port
ipset add aa 1.1.1.1,22	

4、使用ip集：

iptables使用ip集，这里的关键是使用"-m set --match-set "选项。

iptables -I INPUT -m set --match-set aa src -p tcp --destination-port 80 -j DROP

配置保存：

#保存ipset规则
ipset save aa -f aa.txt
#删除ip集合
ipset destroy aa
#导入ipset规则
ipset restore -f aa.txt