linux批量屏蔽ip地址
在很多情况下,我们需要屏蔽一些IP地址,不让其访问使用。
比如:禁止垃圾ip地址访问公司的邮件服务器,禁止某些国家访问你的web 服务。
这种情况下,一个一个ip的封锁显然是不可取的,会浪费大量时间。
那该如何处理呢?
1、netfilter/iptables关系:
首先我们linux的服务器有自带内核级的防火墙 Netfilter/IPtables。
-
netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 -
iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序,它使插入,修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
在linux里面,我们可以很简单的用netfilter/iptables框架禁止IP地址:
iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -s 192.168.1.80 -p tcp --dport 80 -j ACCEPT
这些操作在linux中都是非常容易办到的。
那当你要封禁1000个独立ip呢?这时你得要有1000条iptable规则。这显然这并不适于大规模屏蔽。
2、什么是ip集:
IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。
一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。
3、安装ipset工具:
yum install ipset
ipset create aa hash:net
ipset create bb hash:ip
IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。
ipset list
ipset list aa
默认,每个IP集合可以包含65536个元素(这里是CIDR块)。
这里可以自己添加元素限制:
ipset create aa hash:net maxelem 100000
向集合中添加条目:
ipset add aa 2.2.2.2
ipset add aa 192.168.10.21-192.168.10.31
ipset add aa 192.168.2.0/24
ipset list aa
检查目标ip是否在ipset集合中:
ipset test aa 1.1.1.1
删除条目:
ipset del aa 1.1.1.1
清空ipset中所有集合的ip条目(删条目,不删集合):
ipset flush aa
ipset destroy aa
set types类型集合:
支持的类型有:ip, net, mac, port, iface,即除了ip外,还可以是网络段,端口号(支持指定 TCP/UDP 协议),mac 地址,网络接口名称,或者多种。
hash:ip,port
ipset create aa hash:ip,port
ipset add aa 1.1.1.1,22
4、使用ip集:
iptables使用ip集,这里的关键是使用"-m set --match-set "选项。
iptables -I INPUT -m set --match-set aa src -p tcp --destination-port 80 -j DROP
配置保存:
ipset save aa -f aa.txt
ipset destroy aa
ipset restore -f aa.txt
|