Linux系统下如何添加防火墙规则（添加白名单）？

内容来源重庆思庄论坛：

防火墙的作用：

可以通过设置ip白名单/黑名单的方式限制外部ip的访问或者限制访问内部某个端口；

添加防火墙羡孙物过滤规则步骤如下

1、查看现有防火墙过滤规则：

iptables -nvL --line-number

2、添加防火墙过滤规则（设置白名单）：

1）添加白名单

iptables -I INPUT 3 -s 196.168.133.5 -p tcp --dport 1521 -j ACCEPT

命令详解：

-I：添加规则的参数  

INPUT：表示外部主机访问内部资源

3：表示添加到第三行（可以任凯宴意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport: 用于匹配端口号

-j: 用于匹配处理方式：

常用的ACTION：

DROP：悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

2）查看兄液添加结果

iptables -nvL --line-number

很多情况下，你可能需要在Linux下屏蔽IP地址。比如，作为一个终端用户，你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员，你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下，然而，你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个？

Netfilter/IPtables 的问题

在Linux中，可以很简单地用netfilter/iptables框架禁止IP地址：

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

如果你想要完全屏蔽一个IP地址段，你可以用下面的命令很简单地做到：

$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而，当你有1000个独立IP地址，且不带CIDR（无类别域间路由）前缀，你该怎么做？你要有1000条iptable规则！这显然这并不适于大规模屏蔽。

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP

....

什么是IP集?

这时候就是IP集登场了。IP集是一个内核特性，它允许多个（独立）IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦IP集创建之后，你可以创建一条iptables规则来匹配这个集合。

你马上就会看见IP集合的好处了，它可以让你用一条iptable规则匹配多个ip地址！你可以用或扮多个IP地址和端口号的方式来构造IP集，并且可以动态地更新规则而没有性能影响。

在Linux中安装IPset工具

为了创建和管理IP集，你需要使用称为ipset的用户空间工具。

要在Debian、Ubuntu或者Linux Mint上安装：

$ sudo apt-get install ipset

Fedora或者CentOS/RHEL 7上安装：

$ sudo yum install ipset

使用IPset命令禁止IP

让我通过简单的示例告诉你该如何使用ipset命令。

首先，让我们创建一条新的IP集，名为banthis（名字任意）：

$ sudo ipset create banthis hash:net

第二个参数(hash:net)是必须的，代表的是集合的类型。IP集有多个类型。hash:net类型的衫纯灶IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址，你可以使用hash:ip类型。

一旦创建了一个IP集之后，你可以用下面的命令来检查：

$ sudo ipset list

这显示了一个可用的IP集合列表，并有包含了集合成员的详细信息。默认上，每个IP集合可以包含65536个元素（这里是CIDR块）。你可以通过追加"maxelem N"选项来增加限制。

$ sudo ipset create banthis hash:net maxelem 1000000

现在让我们来增加IP块到这个集合中：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会看到集合成员已经改变了。

$ sudo ipset list

以上图片上传到红联Linux系统教程频道中。

现在是时候去创建一个使用IP集的iptables规则了。这裤虚里的关键是使用"-m set --match-set "选项。

现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令：

$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP

如果你愿意，你可以保存特定的IP集到一个文件中，以后可以从文件中还原：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

上面的命令中，我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。

解决方案： ipset +iblocklist2ipset

安装：

最简单的方法就是yum安装，但是该方法版本比较低，缺少一些使用的模块参数等，所以不大推荐；

yum install ipset -y

编译安装：

1.依赖环境：

yum install libmnl libmnl-devel kernel-devel libtool-devel -y

（新版本的安装方法：git pullgit://git.netfilter.org/libmnl.git 运行./autogen.sh）

(备注：如果只安装libmnl时，会出现下面的报错：

checking for libmnl... configure: error: Package requirements (libmnl >= 1) were not met:

No package 'libmnl' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you

installed software in a non-standard prefix.

Alternatively, you may set the environment variables libmnl_CFLAGS

and libmnl_LIBS to avoid the need to call pkg-config.

See the pkg-config man page for more details.

)

在编译的时候可能提示找不到/lib/modules/2.6.32-431.el6.x86_64/source

经过排查发现这个软连接/lib/modules/2.6.32-431.el6.x86_64/build-->/usr/src/kernels/2.6.32-431.el6.x86_64 不存在

解决办法：重新建立软连接

ln -sb /usr/src/kernels/2.6.32-573.3.1.el6.x86_64 /lib/modules/2.6.32-431.el6.x86_64/build

在运行 ./autogen.sh时报错：

找不到 /usr/share/libtool/

解决办法：安装libtool-devel工具包即可 yum install libtool-devel

2.编译安装ipset (linuxkernel source code (version >= 2.6.32))

./autogen.sh

./configure

make

make modules

make install

make modules_install

注意：不同linux内核使用配仿粗不同版本的源码包

附注：linux kernel sourcecode (version >= 2.6.16 or >= 2.4.36)

编译安装：

make KERNEL_DIR=http://img.xue163.com/lib/modules/$(shell uname -r)/build #$(shell uname -r)使用shell命令获取

make KERNEL_DIR=http://img.xue163.com/lib/modules/$(shell uname -r)/build install

常用使用命令：

ipset list 查看ip集列表信息

ipset add pythontab X.X.X.X 增加一个ip地址到IP集pythontab中去

ipset add pythontab X.X.X.X/24 增加一个网段到培镇IP集pythontab中去

ipset dell pythontab X.X.X.X 删除IP集中指定的IP地址

ipset list 查看当前所有list

ipset save pythontab -f pythontab.txt 将IP集pythontab中的信息保存到当前文大誉件目录下面的文件pythontab.txt中

ipset destroy pythontab 删除指定的IP集pythontab

ipset restore -f pythontab.txt 将保存的pythontab.txt文件中的IP集信息重新导入到ipset中

其他命令参考 ipset --help

iptable命令参考：

iptables -I INPUT -m set --match-set pythontab src -p tcp --destination-port 80 -j DROP #拒绝ipset IP集pythontab中的地址访问服务器的80端口

service iptables save

service iptables restart

自动IP地址禁用

现在你应该看到了IP集合的强大了。维护IP黑名单是一件繁琐和费时的工作。实际上，有很多免费或者收费的服务可以来帮你完成这个。一个额外的好处是，让我们看看如何自动将IP黑名单加到IP集中。

首先让我们从iblocklist.com得到免费的黑名单

接下来我要使用一个名为iblocklist2ipset的开源Python工具来将黑名单转化成IP集。

首先，你需要安装了pip

使用的下面命令安装iblocklist2ipset。

$ pip install iblocklist2ipset

在一些发行版如Fedora，你可能需要运行：

$ python-pip install iblocklist2ipset

现在到iblocklist.com，抓取任何一个P2P列表的URL（比如"level1"列表）。

下载解压，然后保存为txt文件，比如叫做pythontab.txt, 因为iblocklist2ipset仅支持url获取list，所以把pythontab.txt放到你网站的任意目录。比如：ipset目录

$ iblocklist2ipset generate --ipset pythontab "http://www.pythontab.com/ipset/pythontab.txt" >pythontab.txt

上面的命令运行之后，你会得到一个名为pythontab.txt的文件。如果查看它的内容，你会看到像这些：

你可以用下面的ipset命令来加载这个文件：

$ ipset restore -f pythontab.txt

现在可以查看自动创建的IP集：

$ ipset list pythontab

这样就省去了手动管理的麻烦。

注意，在centos下使用yum安装的不是最新版，可能会不支持-f参数，导入黑名单文件，所以建议用源码包安装最新版本

---