IP白名单(iptables + ipset :允许国内ip + 自定义ip 访问系统udp端口)

最新推荐文章于 2024-06-20 15:41:25 发布
最新推荐文章于 2024-06-20 15:41:25 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: shell LINUX 文章标签: linux iptables ipset 国内ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dark_gezi/article/details/116004053
版权
LINUX 同时被 2 个专栏收录
135 篇文章 0 订阅
订阅专栏
shell
28 篇文章 0 订阅
订阅专栏

##########################
## IP白名单(iptables + ipset :允许国内ip + 自定义ip 访问系统udp端口)
##########################
1、安装 ipset
yum install ipset
#创建china 国内ip集
ipset create china hash:net hashsize 10000 maxelem 1000000
#查看china 国内ip集
ipset list china


2、
添加国内ip集合
mkdir /var/ipset/                 #创建目录
touch /var/ipset/callcenter.zone  #创建callcenter.zone(自定义ip集存放文件)
#上传本地国内ipset集合china.zone
#上传脚本文件
ipset_china.sh                #更新加载国内ip集

#!/bin/bash

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

cd /var/uncall/ipset/
#加载内部ipset
for i in `cat china.zone`
do
ipset add china $i
done
#更新国内ip集合
rm cn.zone -f 
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
for i in `cat cn.zone`
do
ipset add china $i
done


upIpsetFornSql.php            #加载callcenter数据库数据到callcenter.zone


check_callcenter_ipset.sh    #加载callcenter数据库数据到callcenter.zone(调用upIpsetFornSql.php),并同步callcenter.zone 到callcenter的ip集

#!/bin/bash
####
#同步数据库的ip集到/var/uncall/ipset/callcenter.zone;更新ipset中callcenter的ip集
####

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
package=/var/uncall/ipset/callcenter.zone

# 检测的文件是否变化
# 记录 md5值的文件
md5=package_md5
# 创建新的md5信息
package_md5_new=$(md5sum -b $package | awk '{print $1}'|sed 's/ //g')

# 创建md5的函数
function creatmd5()
{
        echo $package_md5_new > $md5
}

#同步callcenter数据库中的ip集到 /var/uncall/ipset/callcenter.zone
/var/uncall/ipset/upIpsetFornSql.php

# 判断文件是否存在
if [ ! -f $md5 ] ; then
        echo "md5file is not exsit,create md5file......."
        creatmd5
        exit
fi

# 读取旧的md5信息
package_md5_old=$(cat $md5|sed 's/ //g')

echo $package_md5_new
echo $package_md5_old

# 判断callcenter.zone是否变化,变化则更新callcenter的ip集
if [ "$package_md5_new" == "$package_md5_old" ];then
        echo "md5 is not changed"
else
        echo "md5 is  changed"
        creatmd5
	ipset destroy callcenter 
	ipset create callcenter hash:net hashsize 10000 maxelem 1000000	
	for i in `cat /var/uncall/ipset/callcenter.zone`
	do
	       ipset add callcenter $i
	done
fi

#修改执行权限
chmod +x ipset_china.sh upIpsetFornSql.php check_callcenter_ipset.sh
3、
开机启动:开机加载china 国内ip集
/var/ipset/ipset_china.sh > /dev/null &  

定时脚本: 同步呼叫中心ip集(每分钟同步一次);联网更新国内ip集(每天23:59更新)
* * * * * root /var/ipset/check_callcenter_ipset.sh > /dev/null &
59 23 * * * root /var/ipset/ipset_china.sh > /dev/null &

4、创建基本iptables规则
 vim /etc/sysconfig/iptables

*filter
-A INPUT -p udp -m set --match-set china src -j ACCEPT
-A INPUT -p udp -m set --match-set callcenter src -j ACCEPT
-A INPUT -p udp -j DROP
COMMIT

5、导入表iptables_white.sql;上传web文件;配置菜单

6、重启iptables 、 crond
service iptables restart
service crond restart

参考链接:

https://blog.csdn.net/qq_38344855/article/details/109446260

https://blog.csdn.net/diyiday/article/details/93077288

Dark_gezi
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 屏蔽 中国 IP 访问
07-29
一键屏蔽中国的IP 访问网站 自己写的,亲测。
ipset命令介绍与基本使用
to_be_better_wen的博客
10-16 1万+
iptables, ipset
IP白名单及其作用解析
最新发布
KookeeyLena11的博客
06-20 509
IP白名单,顾名思义,是一个包含允许访问特定网络资源的IP地址列表。当某个IP地址被加入到白名单中,它就被视为可信的来源,其在访问目标网站或服务时将不会受到任何限制或拦截。这种机制与企业或组织的网络安全策略紧密相连,是保护敏感数据和资源不被未授权访问的有效手段。综上所述,IP白名单作为一种网络安全策略,在提高网络安全性、防止IP滥用以及提升代理服务质量和速度方面发挥着重要作用。在网络安全领域,IP白名单是一项至关重要的策略,它允许特定的IP地址或地址范围访问网络资源,从而确保只有受信任的终端能够连接。
Linux内核编译基础
周江涛的专栏
03-23 2142
2.6  Linux内核编译基础 当完成对Linux内核的配置以后,此时仍然以源代码的方式存在,不能直接下载到嵌入式系统中运行,因此,需要对内核进行编译,生成最终可以在嵌入式系统上运行的可执行代码。 2.6.1  Linux内核编译基本步骤 嵌入式系统Linux内核编译步骤如下。 (1)执行如下命令,删除过时的文件: # make clean make cl
使用ipset 防火墙,开端口,开黑白名单
AmbroseLe
04-30 556
【代码】使用ipset 防火墙,开端口,开黑白名单
文件编程之库函数调用
lixiaolonglibin的专栏
05-20 524
1.相关函数
centOS7 下利用iptables配置IP地址白名单的方法
09-15
下面小编就为大家带来一篇centOS7 下利用iptables配置IP地址白名单的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptablesipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct...
Linux服务器配置ip白名单防止远程登录以及端口暴露的问题
01-10
1、阿里云的服务器,本身并没有防火墙,但是我们可以安装一个IPtable防火墙(这里阿里云的服务器系统为Centos),这样的话,就需要防火墙和阿里云网址配置的白名单同时生效才可以喽。 1、服务器防火墙 1.1、下面这个...
ipsetiptables防火墙,需要的老板拿去!
05-10
ipset-master,
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
Shell脚本配合iptables屏蔽来自某个国家的IP访问
01-20
星期六我们一位客户受到攻击,我们的网络监测显示有连续6...DDoS 的战斗中(我们动态扫描屏蔽坏 IP,现在客户网站已恢复。整个过程很有意思,以后有时间再写一篇博客来描述)。登录到客户 VPS 第一件事情就是查当前连
linuxipset命令的使用方法详解
01-11
ipsetiptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找. 除了一些...
ipsum:不良IP的每日馈送(带有黑名单命中分数)
02-05
ipsum:不良IP的每日馈送(带有黑名单命中分数)
Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)
09-30
通过分析nginx的日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
Dnsmasq+ipset+iptables基于域名的流量管理
热门推荐
lvshaorong的博客
11-04 2万+
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储再ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发,可以实现很多功能,比如:禁止浏览某些网站,对国内和国外的流量进行分流等。本文主要介绍了dnsmasq+ipset+iptables的配置
ipset源代码分析之hash:mac类型集合
脚踏实地,不断突破自我,每天有收获就OK
12-18 1525
想了解ipset的hash:mac类型的实现,要阅读的源代码文件有两个ip_set_hash_mac.c和ip_set_hash_gen.h 一、定义hash元素结构体 /* Member elements */ struct hash_mac4_elem {     /* Zero valued IP addresses cannot be stored */     union {    ...
iptables-ipset允许国内访问---端口白名单
endzhi的博客
03-23 1623
为实现仅china大陆地址访问,在业务端口如这里的80,使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。
iptables 开放所有端口允许所有ip访问
06-03
您可以使用以下命令来允许所有IP访问所有端口: ``` sudo iptables -A INPUT -p tcp --dport 1:65535 -j ACCEPT sudo iptables -A INPUT -p udp --dport 1:65535 -j ACCEPT ``` 这将允许所有IP访问所有TCP和UDP端口。请注意,这并不是一个安全的做法,建议您只允许必要的端口通过iptables,并限制允许访问您的系统IP地址列表。如果您需要允许来自特定IP地址的访问,可以使用以下命令: ``` sudo iptables -A INPUT -s <ip_address> -p tcp --dport <port_number> -j ACCEPT sudo iptables -A INPUT -s <ip_address> -p udp --dport <port_number> -j ACCEPT ``` 其中,`<ip_address>` 是您要允许访问IP地址,`<port_number>` 是要允许访问端口号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值