投稿
  1. 首页
  2. 系统运维

linux怎么屏蔽美国ip地址

开网店卖什么最赚钱 2023-4-17 系统运维 阅读 6

linux怎么屏蔽美国ip地址,第1张

工具/原料

Linux服务器

电脑一台

方法/步骤

其实国外的IP 有很多的,而且那么多的国家IP量是非常大的,一个国家的IP的不多,也就是说我们可以收集到国内的IP,然后只允许国内的IP 访问,其它的IP都拒绝,这样也可以达到过滤到国外IP的办法。

我们可以完全使用iptables来进行过滤

首先说一下iptables 允许一个IP 的办法

iptables -A INPUT -s 114.114.114.114 -p TCP --dport 80 -j ACCEPT

iptables -A OUTPUT -d 114.114.114.114 -p TCP --sport 80 -j ACCEPT

这样子就可以允许一个IP 访问服务器端的80端口了

如果需要使用iptables来允许一个IP段的话,我们可以这样子

iptables -A INPUT -s 121.10.139.0/24 -p TCP --dport 80 -j ACCEPT

iptables -A OUTPUT -d 121.10.139.0/24 -p TCP --sport 80 -j ACCEPT

这样子就可以允许一个IP段 访问服务器端的80端口了

上面介绍了如何允许一个IP 或者IP 段访问的办法,这时我们就可以把收集到的全国的IP 段都允许访问服务器。

当然不是手动一个个打,我们可以把它做成shell脚本,然后运行一下即可添加到防火墙里边了。

然后运行脚本,即可全部添加到规则里边了,十分方便。这个就需要您收集到准确的国内IP 以及shell脚本的一些知识。

7

最后再运行使用iptables -A INPUT -j DROP 然后其他的国外IP 都给拒绝了。

Netfilter/IPtables 的问题

在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址:

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到:

$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP

使用IPset命令禁止IP

让我通过简单的示例告诉你该如何使用ipset命令。

首先,让我们创建一条新的IP集,名为banthis(名字任意):

$ sudo ipset create banthis hash:net

第二个参数(hash:net)是必须的,代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。

一旦创建了一个IP集之后,你可以用下面的命令来检查:

$ sudo ipset list

这显示了一个可用的IP集合列表,并有包含了集合成员的详细信息。默认上,每个IP集合可以包含65536个元素(这里是CIDR块)。你可以通过追加"maxelem N"选项来增加限制。

$ sudo ipset create banthis hash:net maxelem 1000000

现在让我们来增加IP块到这个集合中:

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会看到集合成员已经改变了。

$ sudo ipset list

现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。

现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:

$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP

如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

上面的命令中,我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/8554375.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
开网店卖什么最赚钱 开网店卖什么最赚钱 一级用户组
0 0
上一篇 2023-04-17
下一篇 2023-04-17

发表评论

登录后才能评论

评论列表(0条)

保存