Linux中怎么批量屏蔽IP地址
發(fā)布時(shí)間:2021-08-11 11:57
來(lái)源:億速云
閱讀:0
作者:Leah
欄目: 系統運維
歡迎投稿:712375056
Linux中怎么批量屏蔽IP地址���,相信很多沒(méi)有經(jīng)驗的人對此束手無(wú)策�,為此本文總結了問(wèn)題出現的原因和解決方法���,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題�����。
Netfilter/IPtables 的問(wèn)題
在Linux中�,可以很簡(jiǎn)單地用netfilter/iptables框架禁止IP地址:
代碼如下:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要完全屏蔽一個(gè)IP地址段�����,你可以用下面的命令很簡(jiǎn)單地做到:
代碼如下:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
然而��,當你有1000個(gè)獨立IP地址��,且不帶CIDR(無(wú)類(lèi)別域間路由)前綴�,你該怎么做��?你要有1000條iptable規則��!這顯然這并不適于大規模屏蔽��。
代碼如下:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
什么是IP集?
這時(shí)候就是IP集登場(chǎng)了�����。IP集是一個(gè)內核特性�����,它允許多個(gè)(獨立)IP地址��、MAC地址或者甚至是端口號被編碼和有效地存儲在位圖/哈希內核數據結構中���。一旦IP集創(chuàng )建之后����,你可以創(chuàng )建一條iptables規則來(lái)匹配這個(gè)集合��。
你馬上就會(huì )看見(jiàn)IP集合的好處了����,它可以讓你用一條iptable規則匹配多個(gè)ip地址���!你可以用多個(gè)IP地址和端口號的方式來(lái)構造IP集�,并且可以動(dòng)態(tài)地更新規則而沒(méi)有性能影響����。
在Linux中安裝IPset工具
為了創(chuàng )建和管理IP集���,你需要使用稱(chēng)為ipset的用戶(hù)空間工具���。
要在Debian��、Ubuntu或者Linux Mint上安裝:
代碼如下:
$ sudo apt-get install ipset
Fedora或者CentOS/RHEL 7上安裝:
代碼如下:
$ sudo yum install ipset
使用IPset命令禁止IP
讓我通過(guò)簡(jiǎn)單的示例告訴你該如何使用ipset命令���。
首先��,讓我們創(chuàng )建一條新的IP集�,名為banthis(名字任意):
代碼如下:
$ sudo ipset create banthis hash:net
第二個(gè)參數(hash:net)是必須的��,代表的是集合的類(lèi)型��。IP集有多個(gè)類(lèi)型��。hash:net類(lèi)型的IP集使用哈希來(lái)存儲多個(gè)CIDR塊�����。如果你想要在一個(gè)集合中存儲單獨的IP地址����,你可以使用hash:ip類(lèi)型���。
一旦創(chuàng )建了一個(gè)IP集之后�,你可以用下面的命令來(lái)檢查:
代碼如下:
$ sudo ipset list
這顯示了一個(gè)可用的IP集合列表���,并有包含了集合成員的詳細信息���。默認上��,每個(gè)IP集合可以包含65536個(gè)元素(這里是CIDR塊)����。你可以通過(guò)追加"maxelem N"選項來(lái)增加限制����。
代碼如下:
$ sudo ipset create banthis hash:net maxelem 1000000
現在讓我們來(lái)增加IP塊到這個(gè)集合中:
代碼如下:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會(huì )看到集合成員已經(jīng)改變了�����。
代碼如下:
$ sudo ipset list
現在是時(shí)候去創(chuàng )建一個(gè)使用IP集的iptables規則了����。這里的關(guān)鍵是使用"-m set --match-set "選項�。
現在讓我們創(chuàng )建一條讓之前那些IP塊不能通過(guò)80端口訪(fǎng)問(wèn)web服務(wù)的iptable規則�����?����?梢酝ㄟ^(guò)下面的命令:
代碼如下:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你愿意�,你可以保存特定的IP集到一個(gè)文件中�,以后可以從文件中還原:
代碼如下:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中�,我使用了destory選項來(lái)刪除一個(gè)已有的IP集來(lái)看看我是否可以還原它���。
自動(dòng)IP地址禁用
現在你應該看到了IP集合的強大了���。維護IP黑名單是一件繁瑣和費時(shí)的工作��。實(shí)際上���,有很多免費或者收費的服務(wù)可以來(lái)幫你完成這個(gè)��。一個(gè)額外的好處是��,讓我們看看如何自動(dòng)將IP黑名單加到IP集中��。
首先讓我們從iblocklist.com得到免費的黑名單��,這個(gè)網(wǎng)站有不同的免費和收費的名單�。免費的版本是P2P格式�����。
接下來(lái)我要使用一個(gè)名為iblocklist2ipset的開(kāi)源Python工具來(lái)將P2P格式的黑名單轉化成IP集��。
首先�,你需要安裝了pip(參考這個(gè)指導來(lái)安裝pip)����。
使用的下面命令安裝iblocklist2ipset���。
代碼如下:
$ sudo pip install iblocklist2ipset
在一些發(fā)行版如Fedora���,你可能需要運行:
代碼如下:
$ sudo python-pip install iblocklist2ipset
現在到iblocklist.com���,抓取任何一個(gè)P2P列表的URL(比如"level1"列表)�����。
粘帖URL到下面的命令中��。
代碼如下:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt
上面的命令運行之后���,你會(huì )得到一個(gè)名為banthis.txt的文件���。如果查看它的內容����,你會(huì )看到像這些:
代碼如下:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以用下面的ipset命令來(lái)加載這個(gè)文件:
代碼如下:
$ sudo ipset restore -f banthis.txt
現在可以查看自動(dòng)創(chuàng )建的IP集:
代碼如下:
$ sudo ipset list banthis
