【无标题】

最新推荐文章于 2023-03-23 00:01:04 发布
最新推荐文章于 2023-03-23 00:01:04 发布
阅读量176 收藏
点赞数
分类专栏: freeswitch 文章标签: linux
原文链接:https://www.codeleading.com/article/6624712284/
版权

SIP攻击很常见,特别是各大云服务器,基本上开了个公网IP绑定到实例机器就会被外国IP一遍怼。

防范也容易,就是把外国IP禁掉。

实现:iptables+ipset,只允许中国IP访问本机,也就实现了封禁国外IP的效果。

优点:匹配迅速,免去iptables单链匹配。

具体操作如下:

#安装ipset:
RedHat:yum install ipset
Debian:apt-get install ipset
#建表
ipset create china hash:net hashsize 10000 maxelem 1000000
#批量增加中国IP到ipset的china表
#以下内容保存成脚本执行即可
》》》》》》》》
#!/bin/bash
rm -f cn.zone
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
for i in `cat cn.zone`
do
    ipset add china $i 
done
《《《《《《《《
 
ipset list china #查看一下
#iptables的filter表INPUT链根据需求加入相应的规则,以下是实例
#全部接受中国IP
-A INPUT -m set --match-set china src -j ACCEPT
#接受中国IP访问本机特定端口特定协议(例如5060UDP协议),freeswitch一般要用这条,直接具体到端口协议
-A INPUT -m set --match-set china src -p tcp -m udp --dport 5060 -j ACCEPT
#接受中国IP的ping响应
-A INPUT -m set --match-set china src -p icmp -j ACCEPT

针对小白用户,不太会用iptables,贴上简易配置用法

把以下内容写到 /etc/sysconfig/iptables 文件里

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m set --match-set china src -p tcp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 16384:32768 -j ACCEPT
-A INPUT -s 172.16.0.0/24 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT

里面的172.16.0.0/24是内网网段,根据实际填写,切记要加上这句,不加就把自己都挡住了。

执行 service iptables restart     即可开起来iptables

 service iptables status     检查下状态 

PS:最好定期更新一下中国IP段,再加到ipset的china表就行,或者执行一下上面提到的那个脚本也行。

月亮船长
关注
专栏目录
c#实现无标题栏窗口的拖动
09-05
本篇文章将详细讲解如何在C#中实现这种无标题栏窗口的拖动以及其他基本操作。 首先,为了实现无标题栏窗口的拖动,我们需要处理窗体的鼠标事件。窗体的`FormBorderStyle`属性应设置为`None`,这会去除窗体的边框和...
Qt无标题窗口
05-21
在本文中,我们将深入探讨如何使用Qt框架创建一个无标题窗口,这在界面设计和自定义标题栏美化中非常有用。我们将关注`framelesswidget.cpp`、`main.cpp`、`framelesswidget.h`等核心文件,理解它们在实现无标题窗口...
使用ipset批量控制iptables
z619193774的博客
02-23 3776
配置如下1、安装ipset yum install ipset2、使用 ipset 创建列表 ipset create server hash:ip3、添加 ip ipset add server 192.168.1.1 ipset add server 192.168.1.24、导出 ipset ipset save > /etc/sysconfig/ipset5、在导出 到 /etc/
ipset批量配置iptables
weixin_34090643的博客
03-23 215
简介:ipsetiptables的扩展,允许你创建匹配整个地址sets(地址集合)的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种集合比较大也可以进行高效的查找。在许多的linux发布中ipset是一个简单的安装包,可以通过linux发行版提供的yum进行安装。格式:ipset-6.11版本显示已有列表: ipse...
使用iptables+脚本实现只允许中国IP访问服务器
一只渣渣程序猿
01-11 4220
ipsetiptables 的扩展,它允许你创建匹配整个 IP 地址集合的规则。可以快速的让我们屏蔽某个 IP 段。这里分享一个屏蔽指定国家的 IP 访问的方法和一个屏蔽国外 IP 访问(仅允许国内 IP 访问)的方法,当我们遇到 CC 攻击,可以尝试选择和使用能有所缓解。 一 屏蔽国内用户访问 1、安装 ipset #Debian/Ubuntu系统 apt-get -y install ipset #CentOS系统 yum -y install ipset 2、创建规则 #创建一个名为cn.
iptables高性能前端优化-无压力配置1w+条规则
热门推荐
Netfilter
08-27 3万+
产生本文的故事这显然是个周末,这是一个下雨的周末,这是一个台风登陆的周末…  上周,有一个很猛的台风“天鸽”,当天红警晚发了两个小时,当发布红警时,几乎所有人都到了公司,当然,除了那些怕西装和皮鞋被雨淋湿的经理。我本来是想特别感谢一下这个台风的,然而它已经造成了重大的人员伤亡,无论如何,我都不能再对它多说一句褒义的话,我是一个喜欢风雨的人,仅诠释我个人。  在台风“天鸽”将至的那晚,我把一个在暴热和
服务器安全-使用ipsetiptables禁止国外IP访问
JAVA拾贝
04-07 4047
服务器遭受ddos攻击,发现发部分IP来自国外…… IPSET安装 yum install ipset // 安装ipset ipset create china hash:net hashsize 10000 maxelem 1000000 // 创建地址表 ipset add china 172.18.0.0/16 ipset list china 获取国内IP地址段并导入 vi ipset_china.sh #!/bin/bash rm -rf cn.zone wget ..
C#创建无标题栏窗体
03-16
摘要:C#源码,菜单窗体,无标题栏窗体 C#创建无标题栏窗体源码,实际上是动态显示或隐藏窗体的标题栏,当隐藏的时候就类似窗体没有了标题栏,当显示标题栏的时候,鼠标按住标题栏即可拖动窗体,以前记得网友需要此...
Delphi实现拖动按钮移动无标题栏窗口
05-11
摘要:Delphi源码,界面编程,窗体拖动,无标题无标题栏的窗体的拖动功能实现,Delphi添加一个可拖动窗体的按钮,通过对此按钮的控制可移动窗体,实现按住标题栏移动窗口的功能,无标题栏也就不能显示最大化、最小化...
VC去掉'无标题'字样的方法.zip
11-21
在使用Visual C++进行编程时,我们经常会在创建新的窗口或者对话框时默认看到标题栏显示为“无标题”。这可能会对用户界面的美观性和专业性造成一定的影响。本资料包提供了一种方法来帮助开发者去掉这个“无标题”...
linux中使用ipset iptables将某个国家ip加入SSH端口转发黑名单
qq_17133729的博客
10-08 520
#安装ipset sudo apt-get -y install ipset wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone #下载国家IP段,这里以cn为例 sudo ipset -N cnip hash:net for i in $(cat ./cn.zone ); do sudo ipset -A cnip $i...
互联网服务器使用ipsetiptables禁止国外IP访问
qq_38344855的博客
11-02 2432
互联网服务器禁止国外IP访问 项目上服务器在互联网环境,开放了数据库3306端口,没几天就发现被 搞了,需要支付比特币? 幸运的是测试环境,没有生产数据。查了日志发现是 个国外IP搞的,于是就看了很多文章,确定了用ipsetiptables的白名单控制 input。 基本思路就是先创建IPSET国内IP地址表,之后防火墙阻断掉表内没有地址 的请求。 1. IPSET yum install ipset // 安装ipset ipset create china hash:net hash
iptables-ipset仅允许国内访问---端口白名单
最新发布
endzhi的博客
03-23 1839
为实现仅china大陆地址访问,在业务端口如这里的80,使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。
Linux下使用 ipset 封大量IPipset参数说明
吾爱编程-欢迎你的访问
06-26 1140
最近一个朋友的服务器被别人一直攻击,有很多IP,显然使用iptables一个一个屏蔽不现实了,只好借助ipset进行批量封禁IP,接下来为大家介绍一下ipset的相关使用方法,有需要的小伙伴可以参考一下: 1、介绍: ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大...
IP白名单(iptables + ipset :允许国内ip + 自定义ip 访问系统udp端口)
Dark_gezi的博客
04-22 2121
########################## ## IP白名单(iptables + ipset :允许国内ip + 自定义ip 访问系统udp端口) ########################## 1、安装 ipset yum install ipset #创建china 国内ipipset create china hash:net hashsize 10000 maxelem 1000000 #查看china 国内ipipset list china 2、 添加国内ip集合
如何在Linux下大量屏蔽恶意IP地址
Commander
05-28 2670
很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个?
linux系统ip占用,Linux下使用ipset封大量IPipset参数说明
weixin_34766430的博客
05-05 455
最近一个朋友的服务器被别人一直攻击,有很多IP,显然使用iptables一个一个屏蔽不现实了,只好借助ipset进行批量封禁IP,接下来吾爱编程为大家介绍一下ipset的相关使用方法,有需要的小伙伴可以参考一下:1、介绍:ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也...
iptables+ipset自动封闭和解封频繁访问web服务的恶意IP
ystyaoshengting的专栏
11-07 1567
转载自https://blog.csdn.net/firehive/article/details/81260169 iptables直接针对ip进行封禁,在ip数量不大的时候是没什么问题的,但当有大量ip的时候性能会严重下降,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP...
Visual C++移除无标题窗口字样的技巧
资源摘要信息:"VC去掉'无标题'字样的方法.zip" 在使用Visual C++(简称VC++)进行Windows应用程序开发时,有时会发现新建的窗口默认标题栏显示为“无标题”,这通常是因为窗口的标题没有被正确设置。本压缩包提供的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值