用ipset和iptables拒绝来自国外的sip攻击

已于 2023-04-16 21:21:18 修改
阅读量222 收藏
点赞数
分类专栏: os 文章标签: sip 拒绝国外sip攻击
于 2023-04-15 22:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56167818/article/details/130176060
版权

假设本机sip端口是5060-5090

可以运行下面的shell脚本:

#! /bin/sh

ipset create china hash:net maxelem 65536
ipset flush china
wget --no-check-certificate -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /etc/china.txt
ipset flush china
while read ip; do
    /sbin/ipset add china $ip
done < /etc/china.txt
ipset add china 192.168.0.0/16
ipset add china 172.16.0.0/8
ipset add china 10.0.0.0/8
ipset add china 127.0.0.0/24
ipset save china > /etc/china.conf

再运行下面的shell脚本:

#! /bin/sh

iptables -A INPUT -p udp -m udp --dport 5060:5090 -m set --match-set china src -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 5060:5090 -j DROP

iptables-save > /etc/iprule.conf

可以配置为自启动,下面是方法:

cat /lib/systemd/system/rc-local.service

debian10的内容如下:

[Unit]
Description=/etc/rc.d/rc.local Compatibility
Documentation=man:systemd-rc-local-generator(8)
ConditionFileIsExecutable=/etc/rc.d/rc.local
After=network-online.target
Wants=network-online.target

[Service]
Type=forking
ExecStart=/etc/rc.d/rc.local start
TimeoutSec=0
RemainAfterExit=yes
GuessMainPID=no

可以看出,条件是/etc/rc.d/rc.local有可执行的属性

那么,现在

chmod +x /etc/rc.d/rc.local

并且编辑下,内容如下:

#! /bin/sh

ipset restore < /etc/china.conf
iptables-restore < /etc/iprule.conf

exit 0

CentOS我暂时没做测试,但我记得也有rc.local服务,可能路径和文件名略有差异,基本道理应该是一样的。

无名387
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ipsetiptables配合来自动封闭和解封有问题的IP
weixin_34208185的博客
12-02 170
iptables封掉少量ip处理是没什么问题的,但是当有大量ip***的时候性能就跟不上了,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭的ip地址放入这个集合中,ipset 是O(1)的性能,用的hash方式所以特别快。一、软件及安装 1、iptables(一般linux都已经安装好的) 2、ipset:ubunt...
iptables结合ipset禁止国外IP进行访问
baynk的博客
12-20 2049
iptables结合Ipset禁止国外IP进行访问
iptablesipset配合使用
to_be_better_wen的博客
10-23 3609
iptables ipset配合使用
使用iptables实现外网转发内网
天好蓝
04-06 8314
server1: 外网ip w.w.w.w 内网ip n.n.n.n server2: n2.n2.n2.n2:27017 (mogodb端口) 目标:外部访问server1w.w.w.w:27017 转发到n2.n2.n2.n2:27017 1、开启linux转发功能: echo 1 > /proc/sys/net/ipv4/ip_forward vi /et...
freeswitch 使用ipsetiptables阻止国外ip扫描端口
qiuyuan
11-16 1671
先安装ipsetiptables,方法自己找 ipset create china hash:net hashsize 1024 maxelem 65536 然后编写shell文件 #!/bin/bash rm -f cn.zone wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone for i in `cat cn.zone` do ipset add china $i done 执行shell文件 再执
iptables防火墙详解
虎哥LoveDroid
02-16 1762
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptables 是 Linux 管理防火墙规则的命令行工具,处于用户空间。
iptables防火墙详解(二)
weixin_30725467的博客
09-10 233
-- 基于状态的iptables 如果按照tcp/ip来划分连接状态,有11种之多(课后可以自己去读一下相关知识) 但iptables里只有4种状态;ESTABLISHED、NEW、RELATED及INVALID 这两个分类是两个不相干的定义。例如在TCP/IP标准描述下UDP及ICMP数据包是没有连接状态的,但在state模块的描述下,任何数据包都有连接状态。 1、ESTABL...
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptablesipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct...
ipsetiptables防火墙,需要的老板拿去!
05-10
ipset-master,
Shell脚本配合iptables屏蔽来自某个国家的IP访问
09-15
主要介绍了Shell脚本配合iptables屏蔽来自某个国家的IP访问,本文利用IPdeny的IP数据,然后用Shell脚本导入iptables实现屏蔽IP访问,需要的朋友可以参考下
activeTables:使用 ipset 自动更新 iptables
06-29
活动表 使用 ipset 自动更新 iptables
linux中ipset命令的使用方法详解
01-11
ipsetiptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找. 除了一些...
ipset+iptabls 禁止国外ip访问
qq_42249813的博客
10-11 408
ipset+iptabls 禁止国外ip访问
ipset命令介绍与基本使用
to_be_better_wen的博客
10-16 9798
iptables, ipset
CentOS_7环境搭建L2TP服务器
热门推荐
m0_71817514的博客
07-20 2万+
CentOS_7环境搭建L2TP服务器
linux与防火墙建立ipsec,ipsec做防火墙
weixin_33228769的博客
05-12 687
windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制在windows2003下是可以通过命令 netsh ipsec进行操作命令的语法:http://technet.microsoft.com/zh-cn/library/cc739550(v=ws.10).aspx#BKMK_add_rule1、删除所有安全策略ne...
iptables黑/白名单设置(使用ipset 工具)
weixin_30617561的博客
07-19 744
ipset介绍 ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilt...
Linux下ipset配合iptables封禁大量IP以及ipset参数说明
清风徐来的博客
12-23 1051
Linux使用iptables封IP,是常用的应对网络攻击的方法,但要封禁成千上万个IP,如果添加成千上万条规则,对机器性能影响较大,使用ipset能解决这个问题。 iptables 包含几个表,每个表由链组成。默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是nat表,封IP就是在 filter 表的 INPUT 链添加规则。 在进行规则匹配时,是从...
培训课件 -从0到1搭建培训管理体系.pptx
最新发布
07-13
培训课件 -从0到1搭建培训管理体系.pptx
系统未安装iptablesipset或Dnsmasq没有开启ipset支持
06-11
如果你使用的是其他操作系统,可以查阅对应的操作系统文档来了解如何安装iptablesipset。对于Dnsmasq开启ipset支持的问题,你需要在Dnsmasq的配置文件中进行设置。具体的配置方法可以查阅Dnsmasq的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值