linux如何禁止某个ip连接服务器?

两个文件是控制远程访问设置的，通过设置这个文件可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

如 果请求访问的主机名或IP不包含在/etc/hosts.allow中，那么tcpd进程就检查/etc/hosts.deny。看请求访问的主机名或 IP有没有包含在hosts.deny文件中。如果包含，那么访问就被拒绝；如果既不包含在/etc/hosts.allow中，又不包含在/etc /hosts.deny中，那么此访问也被允许。

文件的格式为：<daemon list>:<client list>[:<option>:<option>:...]

daemon list：服务进程名列表，如telnet的服务进程名为in.telnetd

client list：访问控制的客户端列表，可以写域名、主机名或网段，如.python.org或者192.168.1.

option：可选选项，这里可以是某些命令，也可以是指定的日志文件

文件示例：hosts.deny文件

in.telnetd:.python.org

vsftpd:192.168.0.

sshd:192.168.0.0/255.255.255.0

第一行vpser.net表示，禁止python.org这个域里的主机允许访问TELNET服务，注意前面的那个点(.)。

第二行表示，禁止192.168.0这个网段的用户允许访问FTP服务，注意0后面的点(.)。

第三行表示，禁止192.168.0这个网段的用户允许访问SSH服务，注意这里不能写192.168.0.0/24。在CISCO路由器种这两中写法是等同的。

服务器定义：

服务器，也称伺服器，是提供计算服务的设备。由于服务器需要响应服务请求，并进行处理，因此一般来说服务器应具备承担服务并且保障服务的能力。

服务器的构成包括处理器、硬盘、内存、系统总线等，和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

在网络环境下，根据服务器提供的服务类型不同，分为文件服务器，数据库服务器，应用程序服务器，WEB服务器等。

很多情况下，你可能需要在Linux下屏蔽IP地址。比如，作为一个终端用户，你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员，你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下，然而，你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个？

Netfilter/IPtables 的问题

在Linux中，可以很简单地用netfilter/iptables框架禁止IP地址：

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

如果你想要完全屏蔽一个IP地址段，你可以用下面的命令很简单地做到：

$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而，当你有1000个独立IP地址，且不带CIDR（无类别域间路由）前缀，你该怎么做？你要有1000条iptable规则！这显然这并不适于大规模屏蔽。

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP

....

什么是IP集?

这时候就是IP集登场了。IP集是一个内核特性，它允许多个（独立）IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦IP集创建之后，你可以创建一条iptables规则来匹配这个集合。

你马上就会看见IP集合的好处了，它可以让你用一条iptable规则匹配多个ip地址！你可以用多个IP地址和端口号的方式来构造IP集，并且可以动态地更新规则而没有性能影响。

在Linux中安装IPset工具

为了创建和管理IP集，你需要使用称为ipset的用户空间工具。

要在Debian、Ubuntu或者Linux Mint上安装：

$ sudo apt-get install ipset

Fedora或者CentOS/RHEL 7上安装：

$ sudo yum install ipset

使用IPset命令禁止IP

让我通过简单的示例告诉你该如何使用ipset命令。

首先，让我们创建一条新的IP集，名为banthis（名字任意）：

$ sudo ipset create banthis hash:net

第二个参数(hash:net)是必须的，代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址，你可以使用hash:ip类型。

一旦创建了一个IP集之后，你可以用下面的命令来检查：

$ sudo ipset list

这显示了一个可用的IP集合列表，并有包含了集合成员的详细信息。默认上，每个IP集合可以包含65536个元素（这里是CIDR块）。你可以通过追加"maxelem N"选项来增加限制。

$ sudo ipset create banthis hash:net maxelem 1000000

现在让我们来增加IP块到这个集合中：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会看到集合成员已经改变了。

$ sudo ipset list

以上图片上传到红联Linux系统教程频道中。

现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。

现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令：

$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP

如果你愿意，你可以保存特定的IP集到一个文件中，以后可以从文件中还原：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

上面的命令中，我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。

---