【Golang】用go操作iptables和ipset设置黑白名单

已于 2024-09-29 17:32:20 修改
阅读量601 收藏 3
点赞数 16
分类专栏: Golang 文章标签: golang 开发语言 后端
于 2024-09-29 17:04:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45795794/article/details/142636016
版权

目录

1、背景

iptables是linux中一个比较好用的防火墙工具,可以通过它对网络数据包进行管理和过滤,iptables中的四表五链在网上能查到很多文章解释,这里不做过多解释。ipset是一个用于管理IP地址集合的工具,能和iptables组合起来一起使用,方便维护和管理各种防火墙规则。本文会给出一个通过go库操作iptables中filter表的INPUT链和ipset来实现允许和拒绝进入本机ipv4网络数据包的示例。

2、go库下载

【1】iptables下载

go get -u github.com/coreos/go-iptables

【2】ipset下载

go get -u github.com/vishvananda/netlink

3、go库和命令行对比

操作方式优点缺点
命令行操作简单方便平台架构版本兼容性差,复杂场景灵活性差
go库操作平台兼容性强,复杂场景灵活性高需要花时间验证库的正确性

4、代码示例

【1】定义iptables规则和ipset集合名称常量

// ipset类型
const (
	HASH_IP       = "hash:ip"
	HASH_IP_PORT  = "hash:ip,port"
	HASH_NET      = "hash:net"
	HASH_NET_PORT = "hash:net,port"
)

// ipset名称
const (
	WL_IP       = "wl_ip"
	WL_IP_PORT  = "wl_ip_port"
	WL_NET      = "wl_net"
	WL_NET_PORT = "wl_net_port"
	BL_IP       = "bl_ip"
	BL_IP_PORT  = "bl_ip_port"
	BL_NET      = "bl_net"
	BL_NET_PORT = "bl_net_port"
)

var ipSetNameToTypeMp = map[string]string{
	WL_IP:       HASH_IP,
	WL_IP_PORT:  HASH_IP_PORT,
	WL_NET:      HASH_NET,
	WL_NET_PORT: HASH_NET_PORT,
	BL_IP:       HASH_IP,
	BL_IP_PORT:  HASH_IP_PORT,
	BL_NET:      HASH_NET,
	BL_NET_PORT: HASH_NET_PORT,
}

// iptables规则
var iptRules = [][]string{
	{"-m", "state", "--state", "ESTABLISHED,RELATED", "-j", "ACCEPT"},    //已建连接允许
	{"-i", "lo", "-j", "ACCEPT"},                                         //本地回环包运行
	{"-m", "set", "--match-set", WL_IP, "src", "-j", "ACCEPT"},           //对集合条目里的源ip允许
	{"-m", "set", "--match-set", WL_IP_PORT, "src,dst", "-j", "ACCEPT"},  //对集合条目里的源ip和目的port允许
	{"-m", "set", "--match-set", WL_NET, "src", "-j", "ACCEPT"},          //对集合条目里的源ip允许
	{"-m", "set", "--match-set", WL_NET_PORT, "src,dst", "-j", "ACCEPT"}, //对集合条目里的源ip和目的port允许
	{"-m", "set", "--match-set", BL_IP, "src", "-j", "ACCEPT"},           //对集合条目里的源ip拒绝
	{"-m", "set", "--match-set", BL_IP_PORT, "src,dst", "-j", "ACCEPT"},  //对集合条目里的源ip和目的port拒绝
	{"-m", "set", "--match-set", BL_NET, "src", "-j", "ACCEPT"},          //对集合条目里的源ip拒绝
	{"-m", "set", "--match-set", BL_NET_PORT, "src,dst", "-j", "ACCEPT"}, //对集合条目里的源ip和目的port拒绝
}

一般都会对本机的已建连接和lo网口的数据包放行,两条规则分别为:

1、iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2、iptables -A INPUT -i lo -j ACCEPT
默认在filter表上增加规则,也可以增加-t指定其它表

【2】创建ipset集合

//创建ipset集合
	for setName, setType := range ipSetNameToTypeMp {
		if err := netlink.IpsetCreate(setName, setType, netlink.IpsetCreateOptions{Replace: true}); err != nil {
			logger.Error("ipset create error", zap.String("set_name", setName), zap.Error(err))
			continue
		}
	}

netlink.IpsetCreateOptions中可以定义其它自定义参数,比如:超时时间、ipv4/ipv6、最大个数、是否覆盖已存在的集合等。

【3】创建iptables规则

//创建iptables规则
	ipt, err := iptables.New()
	if err != nil {
		logger.Error("iptables new error", zap.Error(err))
		return
	}

	for _, iptRule := range iptRules {
		if err = ipt.AppendUnique("filter", "INPUT", iptRule...); err != nil {
			logger.Error("iptables append unique error", zap.Error(err))
			continue
		}
	}

AppendUnique函数是往指定链中追加规则,如果规则存在就不会去做操作。

【4】添加条目

//增加ipset条目
	var port = uint16(100)

	if err = netlink.IpsetAdd(WL_IP, &netlink.IPSetEntry{IP: net.ParseIP("1.1.1.1")}); err != nil { //对源ip为1.1.1.1的包加白
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(WL_IP_PORT, &netlink.IPSetEntry{IP: net.ParseIP("2.2.2.2"), Port: &port}); err != nil { //对源ip为2.2.2.2,目的端口为100的包加白
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(WL_NET, &netlink.IPSetEntry{IP: net.ParseIP("3.3.3.3"), CIDR: 24}); err != nil { //对源ip在3.3.3.3/24范围内的包加白
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(WL_NET_PORT, &netlink.IPSetEntry{IP: net.ParseIP("4.4.4.4"), CIDR: 24, Port: &port}); err != nil { //对源在4.4.4.4/24范围内,目的端口为100的包加白
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(BL_IP, &netlink.IPSetEntry{IP: net.ParseIP("5.5.5.5")}); err != nil { //对源ip为1.1.1.1的包加黑
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(BL_IP_PORT, &netlink.IPSetEntry{IP: net.ParseIP("6.6.6.6"), Port: &port}); err != nil { //对源ip为2.2.2.2,目的端口为100的包加黑
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(BL_NET, &netlink.IPSetEntry{IP: net.ParseIP("7.7.7.7"), CIDR: 24}); err != nil { //对源ip在3.3.3.3/24范围内的包加黑
		logger.Error("ipset add error", zap.Error(err))
	}

	if err = netlink.IpsetAdd(BL_NET_PORT, &netlink.IPSetEntry{IP: net.ParseIP("8.8.8.8"), CIDR: 24, Port: &port}); err != nil { //对源在4.4.4.4/24范围内,目的端口为100的包加黑
		logger.Error("ipset add error", zap.Error(err))
	}

根据不同的集合类型给netlink.IPSetEntry设置不同的参数。

【5】查看iptables

[root@xxx ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set wl_ip src
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set wl_ip_port src,dst
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set wl_net src
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set wl_net_port src,dst
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set bl_ip src
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set bl_ip_port src,dst
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set bl_net src
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set bl_net_port src,dst
[root@xxx ~]# iptables -S | grep INPUT
-P INPUT ACCEPT
-N SPA_HIDE_INPUT
-N SPA_WL_INPUT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m set --match-set wl_ip src -j ACCEPT
-A INPUT -m set --match-set wl_ip_port src,dst -j ACCEPT
-A INPUT -m set --match-set wl_net src -j ACCEPT
-A INPUT -m set --match-set wl_net_port src,dst -j ACCEPT
-A INPUT -m set --match-set bl_ip src -j ACCEPT
-A INPUT -m set --match-set bl_ip_port src,dst -j ACCEPT
-A INPUT -m set --match-set bl_net src -j ACCEPT
-A INPUT -m set --match-set bl_net_port src,dst -j ACCEPT

【6】查看ipset

[root@xxx ~]# ipset list
Name: bl_ip
Type: hash:ip
Revision: 0
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16544
References: 1
Members:
5.5.5.5

Name: bl_ip_port
Type: hash:ip,port
Revision: 1
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16560
References: 1
Members:
6.6.6.6,tcp:100

Name: bl_net
Type: hash:net
Revision: 0
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16816
References: 1
Members:
7.7.7.0/24

Name: bl_net_port
Type: hash:net,port
Revision: 1
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16816
References: 1
Members:
8.8.8.0/24,tcp:100

Name: wl_ip
Type: hash:ip
Revision: 0
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16544
References: 1
Members:
1.1.1.1

Name: wl_ip_port
Type: hash:ip,port
Revision: 1
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16560
References: 1
Members:
2.2.2.2,tcp:100

Name: wl_net
Type: hash:net
Revision: 0
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16816
References: 1
Members:
3.3.3.0/24

Name: wl_net_port
Type: hash:net,port
Revision: 1
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16816
References: 1
Members:
4.4.4.0/24,tcp:100

5、总结

上面给出了一部分go的iptables和ipset库的基础用法,在真实的业务场景中是可以做出很多优化,比如:黑白名单各自定义一条自定义链再追加到INPUT链去维护,这样黑白名单相互之间不会互相影响。更多功能可以根据库里的API应用到适合的场景。

在成都搬砖的鸭鸭
关注
专栏目录
ipmitool 设置网关_IPMITOOL常用操作指令
weixin_39737831的博客
12-20 1143
一、开关机,重启1. 查看开关机状态:ipmitool -H (BMC的管理IP地址) -I lanplus -U (BMC登录用户名) -P (BMC 登录用户名的密码) power status2. 开机:ipmitool -H (BMC的管理IP地址) -I lanplus -U (BMC登录用户名) -P (BMC 登录用户名的密码) power on3. 关机:ipmitool -H (...
kube-proxy源码阅读(iptables实现)
八月对半
03-03 1674
Reference 文章目录1 入口2 ProxyServer创建及调用3 ProxyServer 核心调用流程3.1 func (o *Options) Run() err3.2 func (o *Options) runLoop() error3.3 func (s *ProxyServer) Run() error3.4 func (proxier *Proxier) SyncLoop()4 资源事件处理流程4.1 Service事件4.2 Endpoints事件4.3 Nodes事件4.4 func
golang面试
诸君拔剑吧.
09-12 907
每第61次,会直接从全局队列取,避免goroutine饥饿。
golang语言面试准备
niwoxiangyu的博客
03-20 1303
当要分配的对象小于等于32K大于16B时,从P上的mcache分配,如果mcache没有内存,则从mcental获取,如果mcental也没有,则向mheap申请,如果mheap也没有,则从操作系统申请内存。当垃圾回收开始时,Go会把根对象标记为灰色,其他对象标记为白色,然后从根对象遍历搜索,按照上面的定义去不断的对灰色对象进行扫描标记,当没有灰色对象时,表示所有对象已扫描过,然后就可以开始清除白色对象了。色对象:对上面提到的灰色对象的引用对象已经全部扫描过了,下次不用在扫描它了。
Golang 信息采集
polarday的博客
01-09 4201
Golang信息采集 项目完整内容及使用方法已上传至GitHub——项目链接 Go语言的部分硬件信息采集可以通过gopsutil库来实现 gopsutil库是python中的psutil库在Golang上的移植版,主要用于收集主机的各种信息,包括网络信息,进程信息,硬件信息等 项目地址 官方文档 具体的引用方法网上有很多教程,这里不再赘述 还有一部分linux信息的采集通过调用linux的命令,经过管道回显实现的 具体使用方法 输出形式均为JSON文件 设备信息 通过调用linux的dmidecode命
Golang面经整理(二)(k8s,docker二次开发方向,云原生方向)
qq_41385137的博客
11-08 4661
云原生面试 ,golang, k8s
centos7环境安装mysql golang docker redis
Moniicoo的博客
11-08 871
1.安装golang 1.下载最新版的SDK压缩包,传送门:https://golang.org/dl/ 在这里找到想要下载的压缩包 2.下载完之后传送到相应的机器 scp go1.16.10.linux-amd64.tar.gz luzhihao@10.249.17.203:~ 3.将文件上移动到/opt/目录下,mv go1.16.10.linux-amd64.tar.gz /opt 4.使用解压命令解压刚上传的压缩文件到/usr/loacl/下 tar -zxvf go1.16.10.lin
golang+shell快速实现docker运行时
yevvzi的博客
12-05 424
手动挂载镜像 导出镜像为tar包 docker save -o busybox.tar busybox 解压镜像 tar xf busybox.tar 查看文件 ls 020584afccce44678ec82676db80f68d50ea5c766b6e9d9601f7b5fc86dfb96d.json busybox.tar 2ec9d8fd000cf6929df9aa7a...
用Go处理原始数据包
Starr
02-28 2190
文章目录1. gopacket基本使用检索可用设备捕获并过滤数据包2. 嗅探用户凭证3. 绕过SYN泛洪保护进行端口扫描SYN Cookie绕过 1. gopacket基本使用 Google开发的gopacket库可以方便地处理网络数据包,比如操作pcap文件,支持BPF过滤器语法(Berkeley Packet Filter, 又称为tcpdump语法)等。 文档:https://pkg.go.dev/github.com/google/gopacket/ 安装: go get github.com/go
在CSDN学Golang云原生(Kubernetes基础)
YKM_2580的博客
07-25 1238
其中,--add-runtime 参数指定了 CRI-Dockerd 使用的容器运行时名称和路径,--host 参数指定了连接到 dockershim 的 sock 文件路径,--default-runtime 指定默认的运行时名称,--exec-opt 参数用于配置 cgroup 驱动程序。需要注意的是,在编写自己的 API Server 组件之前,需要对 Kubernetes 的架构、API Server 的工作原理以及相应的开发规范有一定了解。
vpp+vpp-agent+etcd环境搭建和测试
windStudyer的专栏
03-07 1819
注:先安装go,因为etcd和vpp-agent都需要使用go开发的,所以需要go环境的支持 go安装过程如下: (1)官网下载对应链接: 链接:https://golang.google.cn/dl/ centos7下使用:wgethttps://dl.google.com/go/go1.13.linux-amd64.tar.gz(前提先有wget命令) wget安装:yum -y install wget (2)解压到/usr/local/目录下: tar -xvf go1.12.lin.
nginx传递真实客户端ip
月守护的博客
04-08 3191
问题 我们在用nginx做反向代理的时候,通常会遇到一个问题:服务端解析请求时拿到的都是nginx代理服务器的ip,而不是真实的客户端ip 这对我们的业务处理或许存在一些问题,比如鉴权和限流等 反向代理HTTP 这里介绍nginx在反向代理http服务时如何获取客户端真实ip 配置中添加 proxy_set_header Remote_addr $remote_addr; 完整示例配置如下: worker_processes auto; error_log /var/log/nginx/error.
k8s源码分析1--kube-proxy
qq_35117900的博客
06-24 448
k8s源码分析1--kube-proxykube-proxy什么鬼? kube-proxy什么鬼? 看过很多文章和自己日常应用分析作出如下解释: kube-proxy 部署在节点上,是为了: 和k8s-apiserver交互,维持service相关的ip状态。 调用系统层的工具创建service相关的链路和规则,主要是iptables,包含 使用iptables维持的负载均衡。 解释很简单,到达是不是?我们打开源码看看。 ...
【Go语言】深入解读Go语言中的指针,助你拨开迷雾见月明
景天科技苑
09-24 5060
在Go语言中,指针是一种特殊的变量类型,它用于存储变量的内存地址。通过指针,程序可以直接访问和修改变量的值,这在处理大型数据结构、优化内存使用和提高程序性能时非常有用。本文将结合具体案例,详细讲解Go语言中指针的用法,包括定义指针、使用指针访问和修改变量值、指针作为函数参数和返回值、指针数组和切片、结构体指针、空指针检查等。
golang cmd.exec 执行命令后报错 No such file or directory
weixin_42094764的博客
09-24 348
如果在你确定这个目录或者文件一定存在的情况下。这个问题有可能是因为exec执行的命令是管道操作或者重定向输出到文件导致的。
将 Go 作为脚本语言用及一些好用的包
编程点滴
09-23 843
创建一个新的命令对象。可以设置命令的名称、简短描述、详细描述、执行函数等。cmd.Use:设置命令的名称和用法。cmd.Short:设置命令的简短描述。cmd.Long:设置命令的详细描述。cmd.Run:设置命令的执行函数。:将多个子命令添加到根命令中。:添加一个字符串类型的命令行参数,带有短名称(-p)和长名称(–paramName)。可以指定默认值和参数描述。:添加一个整数类型的命令行参数。:添加一个布尔类型的命令行参数。:执行命令。如果命令执行过程中出现错误,会返回一个错误对象。
优化 Go 语言数据打包:性能基准测试与分析
最新发布
dsgdauigfs的博客
09-24 1109
对于序列化和反序列化在复用内存后,速度的提升非常明显,在同步的操作下,能做到 0 字节分配。异步场景下,使用 sync.Pool 内存固定字节分配(两个返回值在堆上分配)- encode_to:性能最优,几乎没有内存分配,适用于高性能要求的场景。- encode_with_pool:使用内存池优化,显著减少了时间和内存开销,适用于大多数场景。- encode:标准方法,时间和内存开销较高。
Redis系列补充:聊聊布隆过滤器(go语言实践篇)
sdgfafg_25的博客
09-24 811
本篇介绍了布隆过滤器的几种实现场景。并以火车票订单信息查询为案例进行说明,如何使用布隆过滤器避免缓存穿透,避免被恶意攻击。引迈 - JNPF快速开发平台_低代码开发平台_零代码开发平台_流程设计器_表单引擎_工作流引擎_软件架构。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值