如何在Linux下大量屏蔽恶意IP地址

sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

解决方案： ipset +iblocklist2ipset

安装：

最简单的方法就是yum安装，但是该方法版本比较低，缺少一些使用的模块参数等，所以不大推荐；

yum install ipset -y

编译安装：

1.依赖环境：

yum install libmnl libmnl-devel kernel-devel libtool-devel -y

（新版本的安装方法：git pullgit://git.netfilter.org/libmnl.git 运行./autogen.sh）

(备注：如果只安装libmnl时，会出现下面的报错：

checking for libmnl... configure: error: Package requirements (libmnl >= 1) were not met:

No package 'libmnl' found

Consider adjusting the PKG_CONFIG_PATH environment variable if you

installed software in a non-standard prefix.

Alternatively, you may set the environment variables libmnl_CFLAGS

and libmnl_LIBS to avoid the need to call pkg-config.

See the pkg-config man page for more details.

)

在编译的时候可能提示找不到/lib/modules/2.6.32-431.el6.x86_64/source

经过排查发现这个软连接/lib/modules/2.6.32-431.el6.x86_64/build-->/usr/src/kernels/2.6.32-431.el6.x86_64 不存在

解决办法：重新建立软连接

ln -sb /usr/src/kernels/2.6.32-573.3.1.el6.x86_64 /lib/modules/2.6.32-431.el6.x86_64/build

在运行 ./autogen.sh时报错：

找不到 /usr/share/libtool/

解决办法：安装libtool-devel工具包即可 yum install libtool-devel

2.编译安装ipset (linuxkernel source code (version >= 2.6.32))

./autogen.sh

./configure

make

make modules

make install

make modules_install

注意：不同linux内核使用不同版本的源码包

附注：linux kernel sourcecode (version >= 2.6.16 or >= 2.4.36)

编译安装：

make KERNEL_DIR=http://img.xue163.com/lib/modules/$(shell uname -r)/build #$(shell uname -r)使用shell命令获取

make KERNEL_DIR=http://img.xue163.com/lib/modules/$(shell uname -r)/build install

常用使用命令：

ipset list 查看ip集列表信息

ipset add pythontab X.X.X.X 增加一个ip地址到IP集pythontab中去

ipset add pythontab X.X.X.X/24 增加一个网段到IP集pythontab中去

ipset dell pythontab X.X.X.X 删除IP集中指定的IP地址

ipset list 查看当前所有list

ipset save pythontab -f pythontab.txt 将IP集pythontab中的信息保存到当前文件目录下面的文件pythontab.txt中

ipset destroy pythontab 删除指定的IP集pythontab

ipset restore -f pythontab.txt 将保存的pythontab.txt文件中的IP集信息重新导入到ipset中

其他命令参考 ipset --help

iptable命令参考：

iptables -I INPUT -m set --match-set pythontab src -p tcp --destination-port 80 -j DROP #拒绝ipset IP集pythontab中的地址访问服务器的80端口

service iptables save

service iptables restart

自动IP地址禁用

现在你应该看到了IP集合的强大了。维护IP黑名单是一件繁琐和费时的工作。实际上，有很多免费或者收费的服务可以来帮你完成这个。一个额外的好处是，让我们看看如何自动将IP黑名单加到IP集中。

首先让我们从iblocklist.com得到免费的黑名单

接下来我要使用一个名为iblocklist2ipset的开源Python工具来将黑名单转化成IP集。

首先，你需要安装了pip

使用的下面命令安装iblocklist2ipset。

$ pip install iblocklist2ipset

在一些发行版如Fedora，你可能需要运行：

$ python-pip install iblocklist2ipset

现在到iblocklist.com，抓取任何一个P2P列表的URL（比如"level1"列表）。

下载解压，然后保存为txt文件，比如叫做pythontab.txt, 因为iblocklist2ipset仅支持url获取list，所以把pythontab.txt放到你网站的任意目录。比如：ipset目录

$ iblocklist2ipset generate --ipset pythontab "http://www.pythontab.com/ipset/pythontab.txt" >pythontab.txt

上面的命令运行之后，你会得到一个名为pythontab.txt的文件。如果查看它的内容，你会看到像这些：

你可以用下面的ipset命令来加载这个文件：

$ ipset restore -f pythontab.txt

现在可以查看自动创建的IP集：

$ ipset list pythontab

这样就省去了手动管理的麻烦。

注意，在centos下使用yum安装的不是最新版，可能会不支持-f参数，导入黑名单文件，所以建议用源码包安装最新版本

这个问题问得太不清楚了~你是要在某个服务中屏蔽某个ip段，还是什么别的情况？不同的服务，权限设置方法是不同的。假如你要屏蔽所有从该网段过来的信息，那可以使用防火墙：

iptables -I INPUT 1 -p tcp -s <deny_ip_addr>-j DROP

iptables -I INPUT 1 -p udp -s <deny_ip_addr>-j DROP

/etc/init.d/iptables save

就行了~

---