iptables-ipset仅允许国内访问---端口白名单

已于 2023-03-25 22:40:21 修改
阅读量1.4k 收藏 3
点赞数
分类专栏: 网络 Linux 网络安全 文章标签: 服务器 java 网络 Powered by 金山文档
于 2023-03-23 00:01:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/endzhi/article/details/129721960
版权
Linux 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
网络
11 篇文章 0 订阅
订阅专栏
网络安全
2 篇文章 0 订阅
订阅专栏

前言:

境外肉鸡攻击有点多,并业务无境外访问需求,IDC机房网络防火墙无法实现8K多条的china大陆地址导入;为实现仅china大陆地址访问,在业务端口如这里的80,使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。

如需简单快捷的方式,搜本博“以错误路由方式禁止境外IP来访”篇 (缺点:主机也无法主动请求境外目标了)

创建ipset得到的备份文件,便于批量添加8k条地址

创建一个ipset

ipset create whitelist hash:net maxelem 1000000

加入一个名单ip

ipset add whitelist 9.9.9.9

查看已经ipset配置内容

ipset list

Name: whitelist
Type: hash:net
Revision: 3
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16816
References: 0
Members:
9.9.9.9

将ipset规则保存到文件

ipset save whitelist -f whitelist.txt

查看备份内容

more whitelist.txt 

create whitelist hash:net family inet hashsize 1024 maxelem 1000000
add whitelist 9.9.9.9

下载china大陆地址集合并处理格式

curl -# -O http://ftp.apnic.net/stats/apnic/delegated-apnic-latest

cat delegated-apnic-latest | awk -F '|' '/CN/&&/ipv4/ {print $4 "/" 32-log($5)/log(2)}'|cat >ip.txt

head -n 2 ip.txt 

1.0.1.0/24
1.0.2.0/23

设置符合ipset备份文件格式

sed 's/^/&add whitelist /g' ip.txt > add-ip.txt

cat add-ip.txt >> whitelist.txt; cp whitelist.txt china_whitelist.txt

head -n 4 china_whitelist.txt 

create whitelist hash:net family inet hashsize 1024 maxelem 65536
add whitelist 9.9.9.9
add whitelist 1.0.1.0/24
add whitelist 1.0.2.0/23

先删除前面创建的ipset

ipset destroy whitelist

导入ipset规则

ipset restore -f china_whitelist.txt

查看目前应用的ipset内容

ipset list | head -n 12

Name: whitelist
Type: hash:net
Revision: 3
Header: family inet hashsize 2048 maxelem 1000000
Size in memory: 126736
References: 0
Members:
202.118.64.0/18
223.212.0.0/15
103.217.56.0/22
150.242.184.0/22
43.246.76.0/22

去除名单ip

ipset del whitelist 9.9.9.9

导入完毕

禁用centos7firewalld,安装iptables

systemctl stop firewalld

systemctl disable firewalld

yum -y install iptables-services

systemctl start iptables

systemctl enable iptables

操作

service iptables status

service iptables stop

service iptables restart

iptables -F

先放行SSH,以免无法远程

iptables -I INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

service iptables save

应用ipset规则实现端口访问白名单,禁止境外ip

iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -m set --match-set whitelist src -p tcp --dport 80 -j ACCEPT

iptables -L -n

使用国内与境外地址分别测试通达性

curl -I http://ip+端口

如实现预期,保存规则永久生效

service iptables save

reboot重启ipset集合消失,并且导致iptables启动失败

因创建的 ipset 存于内存中

解决:

yum -y install ipset-service

systemctl enable ipset

ipset restore -f china_whitelist.txt

service ipset save

sed -i 's/IPSET_SAVE_ON_STOP="no"/IPSET_SAVE_ON_STOP="yes"/' /etc/sysconfig/ipset-config

带时间的玩法

创建默认ip生效时间为1天的ipset集合

ipset create timeout_list hash:net timeout 86400

ipset add timeout_list 1.9.9.9 #继承集合默认生存时间

ipset add timeout_list 2.9.9.9 timeout 3600 #生存时间为1小时

ipset add timeout_list 3.9.9.9 timeout 0 #生效时间无限

查看

ipset list timeout_list

Name: timeout_list
----
Header: family inet hashsize 1024 maxelem 65536 timeout 86400
----(像redis一样显示时间倒计时)
1.9.9.9 timeout 86372
3.9.9.9 timeout 0
2.9.9.9 timeout 3572
删除iptables规则

iptables -L -n --line-numbers

iptables -D INPUT 号码

删除ipset异常

ipset destroy whitelist

ipset v7.1: Set cannot be destroyed: it is in use by a kernel component

尝试清空ipset的ip条目再删除

ipset flush 清空成功,但删除操作还是失败

尝试关闭iptables再删除ipset

service iptables stop

ipset destroy whitelist

删除成功

ipset restore -f china_whitelist.txt

service iptables restart

添加连续ip范围到集合

ipset add a_list 1.1.2.1-1.1.2.64

ipset list a_list

Name: a_list
Members:
1.1.2.2/31
1.1.2.1
1.1.2.16/28
1.1.2.32/27
1.1.2.64
1.1.2.8/29
1.1.2.4/30

详细应用移步

参考文献

ipset详解 使用ipset提高iptables的控制效率 - 快乐嘉年华 - 博客园

endzhi
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptables防火墙
2301_78106979的博客
08-21 146
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter和 iptables 组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。2.netfilter/iptables关系:netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables设置黑白名单
m0_51627713的博客
07-21 3346
首先要明白两个概念:黑名单和白名单。 黑名单:把所有人当做好人,只拒绝坏人。 白名单:把所有人当做坏人,只放行好人。 看起来似乎白名单安全一点,黑名单接受的范围大一点。 对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人了,如此可以建立黑名单机制了。 如果默认规则是DROP,即是把所有人当做坏人,可以建立白名单机制。 使用C7 x86_64为实验环境 CentOS7默认的防火墙不是iptables,而是firewalle
使用 iptables实现IP网段的屏蔽(白名单
最新发布
weixin_72098711的博客
11-13 435
IP 地址段 10.1.0.0/16 的所有访问流量拦截,从而有效的隔离这个 IP 段的所有网络请求。
iptables配置黑白名单
sinat_38390607的博客
09-14 7512
iptables白名单配置
iptablesipset配合使用
to_be_better_wen的博客
10-23 3151
iptables ipset配合使用
安全(6) : centos[2] : iptables开启白名单限制ip访问
Lxinccode的博客
01-10 3028
参考 :iptables配置ip白名单_洋葱小万666的博客-CSDN博客_iptables设置白名单 系统版本 : CentOS Linux release 7.6.1810 (Core) iptables版本 : iptables v1.4.21 注 : 查看版本 iptables -V 生成修改脚本(因为执行限制输入之后所有连接都会断开,也无法重连,生成shell脚本后面的白名单才能成功添加) cat > modifyIptables.sh << 'EOF'.
iptables白名单
qq_42279718的博客
03-13 2817
iptables
iptables
weixin_44620146的博客
08-01 743
iptables
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
iptables-save命令 保存iptables的表配置
01-20
iptables-save命令用于保存iptables的表配置。 语法格式:iptables-save [参数] 常用参数: -c 指定要保存的iptables表时,保存当前的数据包计算器和字节计数器的值 -t 指定要保存的表的名称 参考实例 指定...
2nft:Web应用程序以使用iptables-translate
05-02
2英尺Web应用程序,可让您通过iptables-translate将旧规则转换为 。 如果您对应用程序的结构方式感兴趣,可以在更多信息。安装使用Docker或npm有两种选择。 由于依赖关系,这在Linux上有效。 make iptablesmake ...
Centos7挂载ESXI黑群晖NAS磁盘
endzhi的博客
06-10 9750
群晖系统挂了,无法开机,需挂载磁盘复制数据出来。 群晖使用了软raid技术,不能直接mount挂载 [root@localhost~]#mount/dev/sdc3/mnt mount:unknownfilesystemtype‘linux_raid_member’ 处理方式 安装mdadm、lvm2 [root@localhost~]#yum-yinst...
git使用代理加速
endzhi的博客
05-09 4256
设置使用代理 将你的proxy server地址代替以下的127.0.0.1 http类型代理 git config --global http.proxy http://127.0.0.1:1080 (这条即可) git config --global https.proxy https://127.0.0.1:1080 socks5类型代理 git config -...
centos7 yum安装samba及管理
endzhi的博客
10-11 3799
关闭SELINUX sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config setenforce 0 安装 smb yum -y install samba samba-client 启动并设置我开机自运行 systemctl start smb nmb systemctl enable smb nmb 防火墙 开启samba默认端口 ...
centos7安装新版samba-4.14.3
endzhi的博客
06-05 3431
通过yum安装samba会得到是一个带漏洞的低版本,以下是源码编译安装新版本4.14.3(2021-4-21发行)
应对/tmp/mysqld.sock丢失问题
endzhi的博客
01-29 3178
Mysql有两种连接方式: (1)TCP/IP (2)socket mysql.sock是创建与mysqld服务器相关的MySQL通信端点所使用的套接字,是随每一次 mysql server启动生成,默认权限srwxrwxrwx Socket 链接方式 如以下2种方式 mysql -uroot -p123456 (无定义主机) mysql -uroot -h localhost -p mysql...
nginx反向代理踩过的坑
endzhi的博客
10-27 3136
nginx作代理服务器,无法上传大于1M文件 解决方式 在proxy_pass的location添加下面2行解决。 client_max_body_size 512m; client_body_buffer_size10m; client_max_body_size 默认1M,表示客户端上传到服务器最大允许大小,文件到服务器端后(后台检验),检验发现大于该值,HTTP协议会报错4...
ubuntu update-alternatives --set iptables /usr/sbin/iptables-legacy
09-08
在Ubuntu系统中,使用命令"update-alternatives --set iptables /usr/sbin/iptables-legacy"的目的是将iptables命令设置为使用iptables-legacy版本。 iptables是用于配置Linux内核防火墙规则的工具。然而,从某个版本开始,Ubuntu采用了一个名为nftables的新的内核防火墙框架,此框架可以提供更好的性能和灵活性。因此,默认安装的iptables命令实际上是符号链接,指向了nftables框架的一个包装器。 但是,有时候我们可能需要使用旧版本的iptables命令,例如兼容某些旧的脚本或软件。这时,我们可以使用"update-alternatives"命令来修改默认选择。 具体来说,"update-alternatives --set iptables /usr/sbin/iptables-legacy"命令将iptables命令的符号链接指向了/usr/sbin/iptables-legacy,使其成为默认选择。这样,在执行iptables命令时,实际上执行的是iptables-legacy版本。 需要注意的是,执行这个命令可能需要root权限。此外,如果你在更新Ubuntu系统后发现iptables命令又被切换回nftables框架,可能需要重新运行上述命令,将iptables命令切换回iptables-legacy版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值