linux大量屏蔽恶意ip地址
linux批量屏蔽ip地址
在很多情况下,我们需要屏蔽一些IP地址,不让其访问使用。
比如:禁止垃圾ip地址访问公司的邮件服务器,禁止某些国家访问你的web 服务。
这种情况下,一个一个ip的封锁显然是不可取的,会浪费大量时间。
那该如何处理呢?
1、netfilter/iptables关系:
首先我们linux的服务器有自带内核级的防火墙 Netfilter/IPtables。
netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序,它使插入,修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
在linux里面,我们可以很简单的用netfilter/iptables框架禁止IP地址:
#屏蔽一个ip
iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
#屏蔽一个ip段
iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
#关闭端口,不让外部访问
iptables -I INPUT -p tcp --dport 80 -j DROP
#指定某个IP可以访问80端口:
iptables -I INPUT -s 192.168.1.80 -p tcp --dport 80 -j ACCEPT
这些操作在linux中都是非常容易办到的。
那当你要封禁1000个独立ip呢?这时你得要有1000条iptable规则。这显然这并不适于大规模屏蔽。
2、什么是ip集:
IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。
一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。
3、安装ipset工具:
#安装ipset
yum install ipset
#创建一个新的ipset集合:
ipset create aa hash:net
ipset create bb hash:ip
IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。
#查询集合的条目
ipset list
ipset list aa
默认,每个IP集合可以包含65536个元素(这里是CIDR块)。
这里可以自己添加元素限制:
ipset create aa hash:net maxelem 100000
向集合中添加条目:
ipset add aa 2.2.2.2
ipset add aa 192.168.10.21-192.168.10.31
ipset add aa 192.168.2.0/24 #添加ip段#查询条目
ipset list aa
检查目标ip是否在ipset集合中:
ipset test aa 1.1.1.1
删除条目:
ipset del aa 1.1.1.1
清空ipset中所有集合的ip条目(删条目,不删集合):
ipset flush aa
#删除ipset中的某个集合或者所有集合:
ipset destroy aa
set types类型集合:
支持的类型有:ip, net, mac, port, iface,即除了ip外,还可以是网络段,端口号(支持指定 TCP/UDP 协议),mac 地址,网络接口名称,或者多种。
hash:ip,port
ipset create aa hash:ip,port
ipset add aa 1.1.1.1,22
4、使用ip集:
iptables使用ip集,这里的关键是使用"-m set --match-set "选项。
iptables -I INPUT -m set --match-set aa src -p tcp --destination-port 80 -j DROP
配置保存:
#保存ipset规则
ipset save aa -f aa.txt
#删除ip集合
ipset destroy aa
#导入ipset规则
ipset restore -f aa.txt
linux大量屏蔽恶意ip地址相关推荐
- 如何在Linux下大量屏蔽恶意IP地址
很多情况下,你可能需要在Linux下屏蔽IP地址.比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰.或者当你在运行P2P软件时.你可能想要过滤反P2P活动的网络链接.如果你是一名系统管 ...
- 使用iptables和ipset实现大量屏蔽恶意IP地址
https://blog.csdn.net/qq_44880708/article/details/104614737
- 如何屏蔽某IP地址访问网站
最近发现网站恶意攻击频率较高,登录服务器管理后台,发现某些IP持续性地恶意访问我的站点,而且都是一些不存在的页面或文件.很显然这些访问请求不正常,所以就研究了下如何屏蔽掉某IP或IP段访问站点. 网站 ...
- 3.请执行命令取出linux中eth0的IP地址(考试题答案系列)
说明:本文为老男孩linux培训某节课前考试试题及答案分享博文内容的一部分,也是独立成题的,你可以点下面地址查看全部的内容信息.http://oldboy.blog.51cto.com/2561410 ...
- Linux网络编程之IP地址转换为无符号整数的方法
Linux网络编程之IP地址转换为无符号整数的方法,代码如下:(没考虑异常输入) #include <stdio.h> #include <string.h> #include ...
- linux shell 域名 ip,Shell脚本一种检查Linux中域名和IP地址所有权信息、检查多个域名的到期日期工具...
Shell脚本一种检查Linux中域名和IP地址所有权信息.检查多个域名的到期日期工具 jwhois是一个命令行实用程序,可从whois服务器(whois数据库)中获取有关域名所有权的信息. Whoi ...
- linux 时间 无法连接服务器地址,怎么解决linux访问不了ip地址问题?
怎么解决linux访问不了ip地址问题? 发布时间:2020-05-27 18:00:56 来源:亿速云 阅读:291 作者:Leah 解决方法如下: 1.编辑/etc/sysconfig/iptab ...
- QT 怎么获取linux本机的IP地址?
一.QHostAddress 转 QString QHostAddress haAdrdress = QHostAddress::LocalHost;//LocalHost相当于本地的"12 ...
- 【VMware】虚拟机中给Linux设置ip——解决在linux中设置了ip地址,却还是连不上的问题
大家好,我是好学的小师弟,最近在搭建虚拟机的时候,发现我虽然在linux中设置了ip地址却还是用MobaXterm连不上.后来查询相关文档,解决了该问题 进入虚拟机,点击编辑-虚拟网络编辑器 进入到N ...
最新文章
- C++中的运算符重载基础
- 情人节到了!这枝18星「黑玫瑰」只送给你
- Spring @Autowired和@Resource
- getGeneratedKeys自动获取主键的方法
- 【探秘ES6】系列专栏(二):迭代器和for-of循环
- flash在影片剪辑里面跳转场景
- Zookeeper之session的基本原理
- K-Fold Cross Validation
- 中国移动吉比特GM220-S网关改桥接模式
- trader vn 显示不全_一个VNPY 的“CTP:平昨仓位不足”问题的解决记录
- ctrl键失灵的问题-记kali 1.0升级kali 2.0
- ASEMI场效应管7N60的极限和静态参数详解
- c++游戏我的世界1世界觉醒预告
- 无线网可拼服务器吗6,当WiFi 6遇到了WiFi 6+,我们的网速真的变快了吗?
- Django Vue实现动态菜单、动态权限
- google搜索特殊字符
- 滴水逆向学习笔记 -1-
- 你已经拿到手的人工智能手(zha)机(dan)
- 安装独立版本瑞星杀毒软件2009
- 实况2012里的电梯球的踢法(手柄)