CentOS 6 系列按国别阻止网络流量

最新推荐文章于 2023-03-21 14:53:07 发布
最新推荐文章于 2023-03-21 14:53:07 发布
阅读量638 收藏 1
点赞数 1
分类专栏: 系统运维 文章标签: 网络 流量 centos iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codemanship/article/details/51144419
版权

CentOS 6 系列按国别阻止网络流量

服务器操作系统

CentOS release 6.5 (Final)
Linux version 2.6.32-431.el6.x86_64

安装准备

  1. 关闭SELinux:setenforce 0
  2. CentOS/RHEL 6需要先安装EPEL软件库(面向perl-Text-CSV_XS)
sudo yum install gcc-c++ make automake kernel-devel-`uname -r` wget unzip iptables-devel perl-Text-CSV_XS
  1. 编译需要在/usr/src/kernels/2.6.32-431.el6.x86_64/下有对应内核文件才能编译,部分虚拟机这个目录为空,需要从别的机房拷贝一份。
mkdir /usr/src/kernels/2.6.32-431.el6.x86_64/
cd /usr/src/kernels/2.6.32-431.el6.x86_64/
cp 2.6.32-431.el6.x86_64.tar.gz .
tar zxvf 2.6.32-431.el6.x86_64.tar.gz
rm -f 2.6.32-431.el6.x86_64.tar.gz

安装xtables-addons

由于内核版本问题,只能安装版本1.41

wget http://netix.dl.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-1.41.tar.xz
tar xf xtables-addons-1.41.tar.xz
cd xtables-addons-1.41
./configure
make
sudo make install

安装GeoIP数据库

xt_geoip将用到该数据库,用于IP与国别映射。很方便的是,xtables-addons源程序包随带两个帮助脚本,可分别用来从MaxMind下载GeoIP数据库,并将它转换成xt_geoip可识别的二进制格式。这些脚本位于源程序包里面的geoip文件夹下面。按照下列说明,即可构建GeoIP数据库,并将它安装到你系统上。 

cd geoip/
./xt_geoip_dl
./xt_geoip_build GeoIPCountryWhois.csv
sudo mkdir -p /usr/share/xt_geoip
sudo cp -r {BE,LE} /usr/share/xt_geoip

geoip数据库自动更新

vim /opt/scripts/xtables-addons-update.sh
GEOIP_MIRROR="http://geolite.maxmind.com/download/geoip/database"
TMPDIR=$(mktemp -d /tmp/geoipupdate.XXXXXXXXXX)

wget --no-verbose -t 3 -T 60 "${GEOIP_MIRROR}/GeoIPv6.csv.gz" -O "${TMPDIR}/GeoIPv6.csv.gz"
wget --no-verbose -t 3 -T 60 "${GEOIP_MIRROR}/GeoIPCountryCSV.zip" -O "${TMPDIR}/GeoIPCountryCSV.zip"
gzip -fdc ${TMPDIR}/GeoIPv6.csv.gz | ${TMPDIR}/GeoIPv6.csv
unzip -o -d ${TMPDIR} ${TMPDIR}/GeoIPCountryCSV.zip
mkdir -p /usr/share/xt_geoip
perl /opt/xtables-addons-1.41/geoip/xt_geoip_build -D /usr/share/xt_geoip ${TMPDIR}/GeoIP*.csv
[ -d "${TMPDIR}" ] |  rm -rf $TMPDIR

测试脚本

/bin/bash /opt/scripts/xtables-addons-update.sh

将脚本加入crontab

crontab -e
#update xtables geoip , This wil update every saturday at 09:00 the xtables IP addresses
00 09 * * 6 /bin/bash /opt/scripts/xtables-addons-update.sh

阻止来自或发往某个国家的网络流量

一旦xt_geoip模块和GeoIP数据库都已安装好,你就可以立即使用iptables命令中的geoip匹配选项。
sudo iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]

你想要阻止的国家使用两个字母ISO3166代码来指定,比如说US(美国)、CN(中国)、IN(印度)和FR(法国).
比如说,如果你想阻止来自也门(YE)和赞比亚(ZM)的入站流量,下面这个iptables命令就能实现。
sudo iptables -I INPUT -m geoip --src-cc YE,ZM -j DROP

如果你想阻止发往中国(CN)的出站流量,只要运行下面这个命令。
sudo iptables -A OUTPUT -m geoip --dst-cc CN -j DROP
匹配条件也可以被“抵消”,只要将“!”放在“–src-cc”或“–dst-cc”的前面。比如说:
如果你想在服务器上阻止所有非美国的入站流量,可以运行这个命令:
sudo iptables -I INPUT -m geoip ! --src-cc US -j DROP

结束语

我在本教程中介绍了iptables/xt_geoip,这是一种简单方法,可以根据来源/目的地国家,对网络数据包进行过滤。如果需要的话,可以将这件有用的武器部署到你的防火墙系统中。最后提醒一句,我应该提到:基于GeoIP的流量过滤并不是在你服务器上阻止某些国家的万无一失的方法。GeoIP数据库天生就不准确/不完整,如果使用VPN、Tor或任何受到危及的中继主机,就很容易欺骗来源/目的地国家。基于地域的过滤甚至会阻止本不该被禁止的合法流量。明白这个局限性后,再决定将它部署到你的生产环境中也不迟。

参考文献

如何在Linux上按国别阻止网络流量?
CentOS / RedHat 6.5 Xtables-addons installation, also puppet xtables-addons

codemanship
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【nginx模块(三)】Nginx使用GEOIP模块根据ip地址限制地区
weixin_50999155的博客
07-28 3734
GeoIP,是一套含IP数据库的软件工具,记录了全球各个地方使用的是哪些ip地址。 本实验是基于nginx的geoip模块,处理根据ip地址来限制地区的操作。 目录 操作步骤: 第一步:先安装一个叫”epel-release”的epel源 软件包 第二步:安装geoip 第三步:跑脚本安装nginx配置 第四步:查看nginx版本以及开启了哪些功能 第五步:将geoip的软件包库导入 第六步:将geoip文档City和Country包拷贝到conf目录下 第七步:在nginx.conf文
Nginx添加GeoIP并监控IP分布(接上一篇)
d_chunyu的专栏
05-24 3617
GeoIP:https://github.com/maxmind/geoip-api-c/tree/main Grafana worldmap: https://grafana.com/grafana/plugins/grafana-worldmap-panel/installation 目录 1. Ngin添加GeoIP模块 1.1 停止现有Nginx 1.2 带GeoIP重新编译Nginx 1.2.1 下载GeoIP依赖 1.2.2 进入nginx/sbin目录查看现有nginx模块依.
nginx使用geoip判断国家
。。
07-21 3364
进入目录/etc/nginx/conf.d/ ,下载并解压城市和国家数据文件#cd /etc/nginx/conf.d/#sudo wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz #sudo wget http://geolite.maxmind.com/download/geo
php 根据域名获取国家的名称 geoip_country_name_by_name
m0_37477061的博客
04-01 437
Example #1geoip_country_name_by_name()函数的使用范例: 以下代码将会打印 example.com 主机的定位信息。 <?php $country=geoip_country_name_by_name('www.example.com'); if($country){ echo'Thishostislocatedin:...
GeoIP获取IP的所在地区
weixin_43660088的博客
03-21 881
GeoIP获取IP的所在地区
CentOS 6 系列iso镜像
05-07
资源简介:CentOS6镜像,x86架构,iso版本 包含版本:[6.5-x86_64-bin-DVD1],[6.8-x86_64-LiveDVD],[6.10-x86_64-bin-DVD1] 适用人群:linux学员,运维工程师,开发工程师,个人 适用场景及目标:镜像包仅可在x86...
Centos6 网络配置的实例详解
09-15
主要介绍了Centos6 网络配置的实例详解的相关资料,希望通过本文大家能够掌握配置网络的知识,需要的朋友可以参考下
centos6的openssh9.8p1rpm包
最新发布
07-03
centos6的openssh9.8p1rpm包 解压后执行install.sh自动完成安装,以集成所有用到的依赖
centos6安装ffmpeg
07-12
OS:CentOS release 6 Kernel: 2.6.32-754.35.1.el6.x86_64 ffmpeg: 2.6.8 虽然下载速度慢点,但成功安装了多台机器
Centos7.9安装部署Zabbix6
06-21
Centos7.9安装部署Zabbix6,需要安装包的发邮箱,文件里面包含邮箱地址
GeoLite2/GeoIP 全球国家IP离线库 csv 2020.08.11最新版(CSV格式)
08-14
该资源为2020.08.11 最新版全球国家ip离线库,CSV格式,可直接使用,具体教程请参考CSDN文章教程
GeoIP2-Country-CSV_20200331.zip
04-26
Maxmind GeoIP2-Country-CSV_20200331 朋友买的收费库 通过GeoIP获取ip所属地 完整: GeoIP2-Anonymous-IP-CSV_20200428.zip GeoIP2-Anonymous-IP_20200428.tar.gz GeoLite2-ASN-CSV_20200428.zip GeoLite2-ASN_20200428.tar.gz GeoLite2-City-CSV_20200428.zip GeoLite2-City_20200428.tar.gz GeoLite2-Country-CSV_20200428.zip GeoLite2-Country_20200428.tar.gz
GeoIP数据库
06-22
GeoIP GeoIP GeoIP GeoIP GeoIP GeoIP GeoIP wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
GeoIPCountryWhois
10-04
Country IP Geolocation - CSV File
nginx-配置GeoIP2模块获取地域信息
qq522044637的博客
01-21 3660
1.重新编译nginx命令,加载ngx_http_geoip2_module模块 1.1安装libmaxminddb依赖 libmaxminddb git地址:GitHub - maxmind/libmaxminddb: C library for the MaxMind DB file format wget https://github.com/maxmind/libmaxminddb/releases/download/1.6.0/libmaxminddb-1.6.0.tar.gz tar -
Centos6监控端口流量并对流量大小做控制
mao2553319的博客
08-14 3457
这个脚本会根据提供的端口,监控端口的进出口流量,如果流量大于设置节点,则阻止此端口流量。实际使用将脚本放到/root/目录下执行即可。 脚本机制: 脚本运行时,会在脚本当前目录建立flowcheck目录,之后会根据相应监控端口生成相应文件夹,文件夹内含有监控脚本以及相关文件。 #!/bin/bash dir=$(cd `dirname $0`;pwd) dir=$dir/flowc...
Centos6下iptables配置Xtables-Addons和GeoIP屏蔽某个国家ip
qingzhong_he2010
03-31 2333
今天服务器上流量猛增,ip都来自于中国,而且是非正常访问的ip,导致php-fpm耗CPU 100%,网站打开非常慢,本来已经使用iptables限制连接数,但由于同一ip的连接数达不到,所以没办法进行限制,只能采用屏蔽某个地区ip的方法了,Xtables-Addons就是这样的模块,只需要编译此模块,而不必编译系统内核,就可以和iptables一起工作,达到过滤某个地区的ip。 第一步,检
Linux/Centos服务器带宽异常跑满的排查解决办法
啊鹏的博客
10-18 7365
客服反馈服务器带宽满。之前每天10M就够了,现在20/30都不够,而且是升级到多少,就满多少,包括晚上3/4点都是一直满。 首先需要确定是哪一张网卡的带宽跑满 可以通过sar -n DEV 1 5命令来获取网卡级别的流量图,命令中 1 5 表示每一秒钟取 1 次值,一共取 5 次。 命令执行后会列出每个网卡这 5 次取值的平均数据,根据实际情况来确定带宽跑满的网卡名称。阿里云服务器,默认情况...
Nginx 和 GeoIP 模块读取IP所在的地域信息
u012600104的博客
07-02 6223
Linux安装GeoIP yum install nginx-module-geoip http_geoip_module使用场景 一、区别国内外作HTTP访问规则 二、区别国内城市地域作HTTP访问规则 yum 安装好后找到安装的模块文件 如果nginx是用yun安装的一般是安装到 /etc/nginx/modules/目录下 注意:如果nginx不是yum安装的而是源码编...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值