随手笔记:linux-CentOS ipset + iptable 屏蔽IP及IP组

最新推荐文章于 2023-12-26 11:02:27 发布
最新推荐文章于 2023-12-26 11:02:27 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/questionfish/article/details/79176548
版权

任务总览

  1. 屏蔽占用大量带宽的discuz灌水机器人
  2. 屏蔽尝试扫描网站上传文件的机器人
  3. 重启后自动重新配置屏蔽条件,不会丢失

开始任务

安装 ipset

yum install ipset

配置规则

ipset create discuz_rebort hash:net
ipset create scan_upload_package hash:net

# CIDR
ipset add scan_upload_package 180.97.106.0/24

# IP
ipset add discuz_rebort 46.118.158.40
ipset add discuz_rebort 46.118.125.133
ipset add discuz_rebort 134.249.55.141
ipset add discuz_rebort 178.137.161.254
ipset add discuz_rebort 185.234.216.41
ipset add discuz_rebort 173.239.236.63

# 保存规则
iptables -I INPUT -m set --match-set discuz_rebort src -p tcp -j DROP
iptables -I INPUT -m set --match-set scan_upload_package src -p tcp -j DROP

# 删除单个规则
iptables -D INPUT -m set --match-set discuz_rebort src -p tcp -j DROP

论坛屏蔽IP列表参考:http://www.stopforumspam.com/stats

保存配置

yum install iptables-services

# 创建文件夹
mkdir /etc/iptables.d
mkdir /etc/ipset.d

# 保存 iptables 规则
service iptables save
service iptables restart

# 保存 ipset 规则
ipset save -f /etc/ipset.d/forbiden.sh

重启自动配置

重新配置 ipset 需要的脚本
vim /etc/ipset.d/onboot.sh

/etc/ipset.d/onboot.sh 写入如下内容

ipset restore -f /etc/ipset.d/forbiden.sh
重新配置 iptables 需要的脚本
# 重新 ipset 配置需要的脚本
vim /etc/iptables.d/onboot.sh

/etc/ipset.d/onboot.sh 写入如下内容

/etc/ipset.d/./onboot.sh
service iptables restart
配置系统启动自动运行
vim /etc/rc.d/rc.local

/etc/rc.d/rc.local 追加如下内容

/etc/iptables.d/./onboot.sh
赋予运行权限
chmod +x /etc/ipset.d/onboot.sh
chmod +x /etc/iptables.d/onboot.sh
chmod +x /etc/rc.d/rc.local

备注

CentOS 7 后新增firewalld,性能在iptables之上,有待进一步学习。可能的学习资料:
4.5. 使用防火墙 - Red Hat Customer Portal

在路上吗
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos 6.10 Install ipset
极致,细节
05-16 1289
规则集类型 hash:net #创建网络规则集(可以是是网段 或者 IP) hash:net,port #创建网络规则集,带端口, 基础用法 ipset create fw hash:net #创建规则集 ipset add fw 10.0.0.0/24 #给新加的规则添加IPipset del fw 10.68.22.1/24 #删除IP i...
linux: centos设置ip以及连接外网的方法
01-10
注明:我使用的的使centos 7,所有文件名是ifcfg-enp0s3, 一、 设置虚拟机中linux的ip,使本地能连通虚拟机的linux系统 1>.进入本地windows的cmd,输入ipconfig   2>.根据上面的信息,设置虚拟机中的linux的ip必须要与本...
利用iptable屏蔽特定网站
卢阳
04-10 2021
<br />在学校实验室环境中,为了督促大家学习,不得不屏蔽一些特定的网站。参考网上的资料,自己修改了一份脚本文件,修复了原来文件的几个bug.脚本文件如下:<br />#!/bin/sh #Filename: block_ip.sh # Purpose: blocks all IP address/network found in a text file # The text file must have one IP address or network per li
Linux (CentOS)Ipset
scdncby的博客
05-11 858
Linux (CentOS)Ipset数据集合 ipsetiptables的扩展,允许你创建匹配整个地址sets(地址集合)的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种集合比较大也可以进行高效的查找。在许多的linux发布中ipset是一个简单的安装包,可以通过linux发行版提供的yum进行安装 创建ipset集合:ipset create SETNAME TYPENAME,SETNAME:集合名称(bitmap, hash, list);TYPE
互联网服务器使用ipsetiptables禁止国外IP访问
qq_38344855的博客
11-02 2329
互联网服务器禁止国外IP访问 项目上服务器在互联网环境,开放了数据库3306端口,没几天就发现被 搞了,需要支付比特币? 幸运的是测试环境,没有生产数据。查了日志发现是 个国外IP搞的,于是就看了很多文章,确定了用ipsetiptables的白名单控制 input。 基本思路就是先创建IPSET国内IP地址表,之后防火墙阻断掉表内没有地址 的请求。 1. IPSET yum install ipset // 安装ipset ipset create china hash:net hash
IPTables六—— IPTable规则优化IPSet
weixin_34228662的博客
03-20 239
六、IPSet iptables在进行包过滤的时候,对每个数据包都过滤一遍iptables中的规则。假设我们有如下三条规则: -s 1.1.1.1 -p tcp accpet -s 2.2.2.2 -p tcp accpet -s 3.3.3.3 -p tcp accpet 那么当一个数据包源地址是3.3.3...
LINUX-CENTOS配置IP1
08-08
LINUX-CENTOS配置IP1
centos-7安装步骤+静态ip配置
03-30
CentOS 7 安装步骤和静态 IP 配置 CentOS 7 是一种流行的 Linux 操作系统,它广泛应用于服务器和数据中心。为了帮助用户快速安装和配置 CentOS 7,本文将详细介绍 CentOS 7 的安装步骤和静态 IP 配置。 一、配置...
解决docker安装完成报:bridge-nf-call-iptables is disabled问题
01-20
centos机器 docker安装完成后,输入docker info命令,报如下警告信息解决方法: 1)警告信息如下: WARNING: bridge-nf-call-iptables is disabled WARNING: bridge-nf-call-ip6tables is disabled 2)解决方法: ...
centos----只需三条命令利用iptables和ipset长期封禁ip和临时封禁ip
linux-0.11调试教程
01-12 361
iptables和ipset长期封禁ip和临时封禁ip [root@centos xxxx]# ipset create blacknow hash:ip [root@centos xxxx]# iptables -I INPUT -m set --match-set blacknow src -j DROP [root@centos xxxx]# lastb -n 2000 | awk '{ print $3 }'|sort |uniq -c |sort -nr|head -n 60|awk '{ pri
sfs:e107的垃圾邮件阻止程序-基于stopforumspam.com上的数据库
02-11
停止论坛垃圾邮件 通过对照stopforumspam.com上的数据库检查用户名,电子邮件地址和IP地址,防止垃圾邮件作者在您的e107网站上注册 计划将来发布的功能: 查看 安装 您可以通过“管理区域>插件管理器>查找插件”部分安装此插件。 您也可以通过检阅手动下载此插件。 e107 v1用户注意事项 不再支持e107 v1.0.4(或更低版本)。 强烈建议更新到e107 v2。 如果您希望在e107 v1安装上使用此插件,请使用此插件的。 此插件的任何较新版本仅可在e107 v2上运行。 组态 在管理区域中,可以为此插件设置两个首选项: StopForumSpam Active :确定是否根据stopforumspam.com数据库检查新注册(默认为“ on”) SFS调试模式:启用后,所有用户注册都会记录在日志文件中。 默认情况下,仅记录在stopforumspam.com
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
IPSet ip设置 修改计算机名 工作组名 查看网上邻居
08-28
检测本机的可用网卡 对选中网卡进行IP设置 若不成功则提示用户可能的错误信息; 保存用户所需的IP配置 方便公司家里的不同IP情况时自由切换; 可修改本机计算机名和工作组名; 查看当前局域网下的所有工作组; 查看工作组内的所有计算机及其计算机名、IP地址及物理地址。 注:若电脑内未.net 4.0环境则用户在第一次安装该工具时可能会消耗一点点时间。
centos7 firewall ipset使用记录笔记
abcxyz888的专栏
05-25 315
systemctl enable firewalld #开机运行 systemctl start firewalld firewall-cmd --new-ipset=permit_22_input --type=hash:ip --permanent #以上只能--pernanent firewall-cmd --ipset="permit_22_input" --add-entry="192.168.1.2" --permanent firewall-cmd --info-ipset=permit_2.
Linux下ipset配合iptables封禁大量IP以及ipset参数说明
清风徐来的博客
12-23 1045
Linux使用iptables封IP,是常用的应对网络攻击的方法,但要封禁成千上万个IP,如果添加成千上万条规则,对机器性能影响较大,使用ipset能解决这个问题。 iptables 包含几个表,每个表由链组成。默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是nat表,封IP就是在 filter 表的 INPUT 链添加规则。 在进行规则匹配时,是从...
centos6.5 iptables结合ipset批量屏蔽ip
weixin_34319999的博客
11-14 211
安装ipset yum install ipset #创建ip地址集合 ipset create bansms hash:net 查找访问了“getVerificationCode”并且次数大于10次的ip cat /usr/local/nginx/logs/access.log | grep getVerificationCode | awk '{p...
CentOS 7 firewalld+ipset+定时任务防御ssh暴力破解——筑梦之路
最新发布
筑梦之路
12-26 1139
对于暴露在公网上的linux服务器,很容易被暴力破解登陆,为了增强服务器的安全性,因此对于ssh安全加固是很有必要的,这里主要介绍centos7 系统如何使用ipset+firewalld+定时任务来对ssh服务进行安全加固。
iptables和ipset配合使用
to_be_better_wen的博客
10-23 3559
iptables ipset配合使用
ipsetiptables笔记
Re_Virtual的博客
01-05 413
ipsetiptables笔记
大数据环境集群环境搭建.docx
10-31
1. **CentOS6.5**:这是一个流行的Linux发行版,常用于服务器环境,特别是大数据集群,因为它稳定且支持多种软件包。 2. **JDK1.8**:Java开发工具包,是运行Java应用程序的基础,对于大数据处理框架如Hadoop和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值