Linux中怎么批量屏蔽IP地址�����,相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法��,通過這篇文章希望你能解決這個(gè)問題。Linux中怎么批量屏蔽IP地址�,相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法����,通過這篇文章希望你能解決這個(gè)問題�。
成都創(chuàng)新互聯(lián)公司主打移動(dòng)網(wǎng)站、網(wǎng)站設(shè)計(jì)制作���、成都網(wǎng)站建設(shè)�����、網(wǎng)站改版��、網(wǎng)絡(luò)推廣����、網(wǎng)站維護(hù)�����、主機(jī)域名�����、等互聯(lián)網(wǎng)信息服務(wù),為各行業(yè)提供服務(wù)��。在技術(shù)實(shí)力的保障下���,我們?yōu)榭蛻舫兄Z穩(wěn)定�,放心的服務(wù)���,根據(jù)網(wǎng)站的內(nèi)容與功能再?zèng)Q定采用什么樣的設(shè)計(jì)����。最后����,要實(shí)現(xiàn)符合網(wǎng)站需求的內(nèi)容、功能與設(shè)計(jì)�,我們還會(huì)規(guī)劃穩(wěn)定安全的技術(shù)方案做保障。
Netfilter/IPtables 的問題
在Linux中�����,可以很簡(jiǎn)單地用netfilter/iptables框架禁止IP地址:
代碼如下:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要完全屏蔽一個(gè)IP地址段,你可以用下面的命令很簡(jiǎn)單地做到:
代碼如下:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
然而���,當(dāng)你有1000個(gè)獨(dú)立IP地址���,且不帶CIDR(無(wú)類別域間路由)前綴,你該怎么做���?你要有1000條iptable規(guī)則���!這顯然這并不適于大規(guī)模屏蔽�����。
代碼如下:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
什么是IP集?
這時(shí)候就是IP集登場(chǎng)了���。IP集是一個(gè)內(nèi)核特性�����,它允許多個(gè)(獨(dú)立)IP地址����、MAC地址或者甚至是端口號(hào)被編碼和有效地存儲(chǔ)在位圖/哈希內(nèi)核數(shù)據(jù)結(jié)構(gòu)中。一旦IP集創(chuàng)建之后�,你可以創(chuàng)建一條iptables規(guī)則來(lái)匹配這個(gè)集合。
你馬上就會(huì)看見IP集合的好處了��,它可以讓你用一條iptable規(guī)則匹配多個(gè)ip地址�����!你可以用多個(gè)IP地址和端口號(hào)的方式來(lái)構(gòu)造IP集��,并且可以動(dòng)態(tài)地更新規(guī)則而沒有性能影響����。
在Linux中安裝IPset工具
為了創(chuàng)建和管理IP集,你需要使用稱為ipset的用戶空間工具���。
要在Debian���、Ubuntu或者Linux Mint上安裝:
代碼如下:
$ sudo apt-get install ipset
Fedora或者CentOS/RHEL 7上安裝:
代碼如下:
$ sudo yum install ipset
使用IPset命令禁止IP
讓我通過簡(jiǎn)單的示例告訴你該如何使用ipset命令。
首先�,讓我們創(chuàng)建一條新的IP集,名為banthis(名字任意):
代碼如下:
$ sudo ipset create banthis hash:net
第二個(gè)參數(shù)(hash:net)是必須的��,代表的是集合的類型��。IP集有多個(gè)類型。hash:net類型的IP集使用哈希來(lái)存儲(chǔ)多個(gè)CIDR塊����。如果你想要在一個(gè)集合中存儲(chǔ)單獨(dú)的IP地址,你可以使用hash:ip類型��。
一旦創(chuàng)建了一個(gè)IP集之后�����,你可以用下面的命令來(lái)檢查:
代碼如下:
$ sudo ipset list
這顯示了一個(gè)可用的IP集合列表�,并有包含了集合成員的詳細(xì)信息。默認(rèn)上����,每個(gè)IP集合可以包含65536個(gè)元素(這里是CIDR塊)��。你可以通過追加"maxelem N"選項(xiàng)來(lái)增加限制�。
代碼如下:
$ sudo ipset create banthis hash:net maxelem 1000000
現(xiàn)在讓我們來(lái)增加IP塊到這個(gè)集合中:
代碼如下:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會(huì)看到集合成員已經(jīng)改變了。
代碼如下:
$ sudo ipset list
現(xiàn)在是時(shí)候去創(chuàng)建一個(gè)使用IP集的iptables規(guī)則了��。這里的關(guān)鍵是使用"-m set --match-set "選項(xiàng)�。
現(xiàn)在讓我們創(chuàng)建一條讓之前那些IP塊不能通過80端口訪問web服務(wù)的iptable規(guī)則??梢酝ㄟ^下面的命令:
代碼如下:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你愿意,你可以保存特定的IP集到一個(gè)文件中,以后可以從文件中還原:
代碼如下:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中��,我使用了destory選項(xiàng)來(lái)刪除一個(gè)已有的IP集來(lái)看看我是否可以還原它��。
自動(dòng)IP地址禁用
現(xiàn)在你應(yīng)該看到了IP集合的強(qiáng)大了�。維護(hù)IP黑名單是一件繁瑣和費(fèi)時(shí)的工作。實(shí)際上��,有很多免費(fèi)或者收費(fèi)的服務(wù)可以來(lái)幫你完成這個(gè)�。一個(gè)額外的好處是,讓我們看看如何自動(dòng)將IP黑名單加到IP集中���。
首先讓我們從iblocklist.com得到免費(fèi)的黑名單�,這個(gè)網(wǎng)站有不同的免費(fèi)和收費(fèi)的名單�。免費(fèi)的版本是P2P格式。
接下來(lái)我要使用一個(gè)名為iblocklist2ipset的開源Python工具來(lái)將P2P格式的黑名單轉(zhuǎn)化成IP集����。
首先,你需要安裝了pip(參考這個(gè)指導(dǎo)來(lái)安裝pip)���。
使用的下面命令安裝iblocklist2ipset�����。
代碼如下:
$ sudo pip install iblocklist2ipset
在一些發(fā)行版如Fedora����,你可能需要運(yùn)行:
代碼如下:
$ sudo python-pip install iblocklist2ipset
現(xiàn)在到iblocklist.com,抓取任何一個(gè)P2P列表的URL(比如"level1"列表)���。
粘帖URL到下面的命令中�。
代碼如下:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt
上面的命令運(yùn)行之后�,你會(huì)得到一個(gè)名為banthis.txt的文件。如果查看它的內(nèi)容�����,你會(huì)看到像這些:
代碼如下:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以用下面的ipset命令來(lái)加載這個(gè)文件:
代碼如下:
$ sudo ipset restore -f banthis.txt
現(xiàn)在可以查看自動(dòng)創(chuàng)建的IP集:
代碼如下:
$ sudo ipset list banthis
文章題目:Linux中怎么批量屏蔽IP地址
網(wǎng)站路徑:
http://weahome.cn/article/sjsic.html
重慶分公司
重慶分公司
