Linux服务器
电脑一台
方法/步骤
其实国外的IP 有很多的,而且那么多的国家IP量是非常大的,一个国家的IP的不多,也就是说我们可以收集到国内的IP,然后只允许国内的IP 访问,其它的IP都拒绝,这样也可以达到过滤到国外IP的办法。
我们可以完全使用iptables来进行过滤
首先说一下iptables 允许一个IP 的办法
iptables -A INPUT -s 114.114.114.114 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -d 114.114.114.114 -p TCP --sport 80 -j ACCEPT
这样子就可以允许一个IP 访问服务器端的80端口了
如果需要使用iptables来允许一个IP段的话,我们可以这样子
iptables -A INPUT -s 121.10.139.0/24 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -d 121.10.139.0/24 -p TCP --sport 80 -j ACCEPT
这样子就可以允许一个IP段 访问服务器端的80端口了
上面介绍了如何允许一个IP 或者IP 段访问的办法,这时我们就可以把收集到的全国的IP 段都允许访问服务器。
当然不是手动一个个打,我们可以把它做成shell脚本,然后运行一下即可添加到防火墙里边了。
然后运行脚本,即可全部添加到规则里边了,十分方便。这个就需要您收集到准确的国内IP 以及shell脚本的一些知识。
7
最后再运行使用iptables -A INPUT -j DROP 然后其他的国外IP 都给拒绝了。
很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个?Netfilter/IPtables 的问题
在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址:
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到:
$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP
然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP
....
什么是IP集?
这时候就是IP集登场了。IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。
你马上就会看见IP集合的好处了,它可以让你用一条iptable规则匹配多个ip地址!你可以用多个IP地址和端口号的方式来构造IP集,并且可以动态地更新规则而没有性能影响。
在Linux中安装IPset工具
为了创建和管理IP集,你需要使用称为ipset的用户空间工具。
要在Debian、Ubuntu或者Linux Mint上安装:
$ sudo apt-get install ipset
Fedora或者CentOS/RHEL 7上安装:
$ sudo yum install ipset
使用IPset命令禁止IP
让我通过简单的示例告诉你该如何使用ipset命令。
首先,让我们创建一条新的IP集,名为banthis(名字任意):
$ sudo ipset create banthis hash:net
第二个参数(hash:net)是必须的,代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。
一旦创建了一个IP集之后,你可以用下面的命令来检查:
$ sudo ipset list
这显示了一个可用的IP集合列表,并有包含了集合成员的详细信息。默认上,每个IP集合可以包含65536个元素(这里是CIDR块)。你可以通过追加"maxelem N"选项来增加限制。
$ sudo ipset create banthis hash:net maxelem 1000000
现在让我们来增加IP块到这个集合中:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你会看到集合成员已经改变了。
$ sudo ipset list
以上图片上传到红联Linux系统教程频道中。
现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。
现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:
$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP
如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中,我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。
Netfilter/IPtables 的问题在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址:
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到:
$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP
然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP
使用IPset命令禁止IP
让我通过简单的示例告诉你该如何使用ipset命令。
首先,让我们创建一条新的IP集,名为banthis(名字任意):
$ sudo ipset create banthis hash:net
第二个参数(hash:net)是必须的,代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。
一旦创建了一个IP集之后,你可以用下面的命令来检查:
$ sudo ipset list
这显示了一个可用的IP集合列表,并有包含了集合成员的详细信息。默认上,每个IP集合可以包含65536个元素(这里是CIDR块)。你可以通过追加"maxelem N"选项来增加限制。
$ sudo ipset create banthis hash:net maxelem 1000000
现在让我们来增加IP块到这个集合中:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你会看到集合成员已经改变了。
$ sudo ipset list
现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。
现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:
$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP
如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中,我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)