linux双ip配置 ipset,iptables-ipset模块

最新推荐文章于 2021-07-29 16:30:19 发布
最新推荐文章于 2021-07-29 16:30:19 发布
阅读量623 收藏 1
点赞数
文章标签: linux双ip配置 ipset

利用 ipset 封禁大量IP

环境:CentOS7.4 自带6.29版本(目前全球服务器厂商普遍使用的CentOS最高版本为7.4)

用途:当机器受到网络***时,使用 iptables 封IP,有时候可能会封禁成千上万个IP,如果添加成千上万条规则,在一台注重性能的服务器或者本身性能就很差的设备上就不在适用了。ipset 就是为了避免这个问题而生的。

基本流程:

ipset create test hash:ip

iptables -I INPUT -m set --match-set test src -j DROP

ipset add test 192.168.80.100

ipset add test 192.168.80.101

ipset add test ...

ipset list test # 查看 test 集合的内容

第一步:新建ipset 集合

第二歩:添加iptables 规则

第三步:向ipset中添加ip

创建集合

ipset n,create [ SETNAME ] [ TYPENAME ] [ CREATE-OPTIONS ]

SETNAME:即所创建集合的名字

TYPENAME:即类型名字,用类型来储存ip

CREATE-OPTIONS:即创建选项,TYPENAME类型所对应的值

e3a85e572b4028211e4979984a06a053.png

注意:

TYPENAME相关类型有:bitmap link hash

其中bitmap link 的储存方式的集合大小是固定,hash类型的储存大小是可变的(后面会解释的)

CREATE-OPTIONS相关类型有:ip, net, mac, port, iface

即除了ip外,还可以是网络段,端口号(支持指定TCP/UDP协议),mac地址,网络接口名称,或者多种。

添加iptables 规则

在iptables中可以使用-m set启用ipset模块

iptables -I INPUT -m set --match-set test src -j DROP

iptables -I INPUT -m set ! --match-set file src -j DROP

如果源地址(src)属于test这个集合,就进行DROP操作。这条命令中,test是作为黑名单的,如果要把某个集合作为白名单,添加一个‘!’符号就可以。

9871162ab9963d563a8adff1761742ef.png

向集合中添加记录

inset add [ SETNAME ] [ ADD-ENTRY ] [ ADD-OPTIONS ]

SETNAME:即所要添加ip的集合名字

ADD-ENTRY:所要添加的ip或含端口号等其他类型

ADD-OPTIONS:添加ip时的其他条件(后面会解释的)

ipset add test 4.5.6.7

60667f2028dc35777d93183eb79e283d.png

注意:可以同过以下方法找到需要封禁的ip

netstat -ntu | tail -n +3 | awk '{print $5}' | sort | uniq -c | sort -nr

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr

注意:如果创建集合是指定的存储内容包含 ip, 例如hash:ip或hash:ip,port,在添加记录时,可以填IP段,但是仍然是以单独一个个IP的方式来存储的

删除

删除集合内的ip

inset del SETNAME DEL-ENTRY

参考添加的解释

ipset del test 192.168.80.100    # 从 test集合中删除内容

d5ff848c402318644106bf115e84649e.png

删除集合

ipset destroy test        # 删除 test 集合

ipset destroy            # 删除所有集合

注意:在删除集合时,如果该集合被iptables规则已经引用,则需先删除集合所在的规则,在删除集合,如果集中存在ip并不会影响删除集合

存储类型

hash:net

hash:net 指定了可以往file这个集合里添加IP段或IP地址。

ipset create file hash:net

ipset add file 192.168.80.0/24

ipset add file 192.168.80.0/30 nomatch

ipset add file 192.168.80.9

ipset test file 192.168.80.2

第一条命令:创建hash:net集合

第二条命令:添加192.168.80.0/24该ip段的范围

第三条命令:添加192.168.80.0/30该ip段的范围,nomatch是之前提到的[ ADD-OPTIONS ],就是添加某ip的附加条件

作用:是把 192.168.80.0/30 从192.168.80.0/24这一范围相对更大的IP段里“剥离”出来

也就是说执行完ipset add file 192.168.80.0/24之后,192.168.80.0/24 这一段IP是属于file集合的,接着又执行了ipset add file 192.168.80.0/30 nomatch之后,192.168.80.0/24 里包含着的192.168.80.0/30这部分,就不属于file集合了。执行ipset test file 192.168.80.2就会得到结果192.168.80.2 is NOT in set file,即表示该ip不属于file集合了

注意:如下图所示,即使结果出现了192.168.80.2 is NOT in set file,但还是可以添加到file集合中的,所以在添加IP段的时候,要清楚IP段所表示的范围

083cfc7451bc77144028a09995e86151.png

6558f8cc7fac4d600f0718e0d8b262ae.png

b4fbbffe1dd863503cce8e4e4f15f3e0.png

hash:ip,port

ipset create pro hash:ip,port

ipset add pro 192.168.80.106,80

ipset add pro 192.168.80.108,udp:53

ipset add pro 192.168.80.104,80-86

第一条:创建 hash:ip,port 集合

第二条:添加 IP 地址为192.168.80.106端口号为80的记录,没有注明协议,默为TCP协议

第三条:注明协议为UDP协议

第四条:注明了IP地址和一个端口号范围,这也是合法的命令

87493e81c5c6059e32ae3a03242a5c6c.png

需要注意的是,前面有说过的:如果创建集合是指定的存储内容包含 ip, 例如hash:ip或hash:ip,port,在添加记录时,可以填IP段,但是仍然是以单独一个个IP的方式来存储的

解封

创建

如果一个集合是作为黑名单使用,可以通过timeout参数,实现到期自动从黑名单里删除记录

ipset create time hash:ip timeout 300

ipset add time 192.168.80.103

ipset add time 192.168.80.105 timeout 60

第一条:创建一个含有timeout参数的time集合,默认值为1000s

第二条:在添加IP时不加timeout参数时,默认timeout时间就时1000s

第三条:向集合添加IP 时指定了不同于默认值的timeout数值100,那么这一条记录就会在100s后自动删除

当我们再次查看time集合时,可以看到时间在倒计时,标志着它们在多少秒之后会被删除

7a83c525c7685423797d8311807a3c3a.png

修改

如果要重新为某条记录指定 timeout 参数,可以使用-exit参数

ipset -exist add time 192.168.80.103 timeout 500

这样192.168.80.103 这一条数据的timeout值就变成了500

adc702c6fe2d6cfb54dafea04eb58b27.png

注意:

1.如果在创建集合时没有指定timeout,那么之后添加记录时不支持timeout参数,但如果在集合没有指定timeout时,在添加记录时使用了timeout参数,会报出错误想

2.如果需要默认记录不会过期(自动删除),又需要添加某条记录时加timeout参数,可以在创建集合时指定timeout的值为0

如下图所示:

ipset create err hash:ip

ipset add err 192.168.80.107 timeout 100

# 报错信息为:ipset v6.29: Kernel error received: Unknown error -1

f01807074eca04230a75b310dd2bad54.png

hash的自增

前面说过:bitmap link 的储存方式的集合大小是固定,hash类型的储存大小是可变的

下面介绍下hash的两个参数

hashsize:指定了创建集合时初始大小

maxelem:指定了集合最大存储记录的数量

如下图所示:

ipset create initia hash:ip,port hashsize 4096 maxelem 1000000

ipset add initia 192.168.80.109

这样就创建了一个 initia 集合,初始hash大小是2048,如果满了hash会自动扩容为之前的两倍,最大能存储的数量是100000个

7b0c6b32cb95e650984aa8556631f292.png

注意:如果没有指定,则hashsize的默认初始值为1024,maxelem的默认最大值为65536

其他常用命令(包括前面提到的删除)

ipset del test x.x.x.x    # 从test集合中删除内容

ipset list test          # 查看test集合内容

ipset list             # 查看所有集合的内容

ipset flush test         # 清空test集合

ipset flush            # 清空所有集合

ipset destroy test        # 销毁test集合

ipset destroy           # 销毁所有集合

ipset save test          # 输出test集合内容到标准输出

ipset save             # 输出所有集合内容到标准输出

ipset restore           # 根据输入内容恢复集合内容

EDISF
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linuxipset命令的使用方法详解
01-11
ipset介绍 iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptableslinux从2.4版本引入的防火墙解决方案. ipsetiptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找. 除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptablesipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct.sh stop 即可删除创建的屏蔽国外ip访问国内规则,文件,合集等一系列直接删除,且不会影响到自己创建的iptabels规则和ipset合集
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
ipsetiptables防火墙,需要的老板拿去!
05-10
ipset-master,
ipset如何与netfilter内核模块进行通信
脚踏实地,不断突破自我,每天有收获就OK
12-14 2919
最近需要使用ipsetiptables,和netfilter,所以把三者的源代码看大概阅读了一遍。 前面我们学习过应用层ipset和netfilter模块之间通信是采用的netlink套接字 用户空间的ipset命令通过 libipset.so 这个库和内核通讯 一、ipset主流程 下面是我总结的主流程   二、用户层如何将创建set的名称和类型传递到内核层的 我们都知道ip...
Ubuntu配置ip和防火墙问题
smiling
06-21 1175
先说一下,配置ip的问题,不只是Ubuntu18,在其它版本一样,并没有十分完美的解决这个问题。好多文章里面都说去配置文件中修改,也就是/etc/network/interface中修改,但是我修改过后是不对的。我项目中刚好要使用一个虚拟ip,如此我的解决办法是在终端输入:ifconfig ens33:0 10.170.228.8 netmask 255.255.255.0 up  这个方法在重...
linux ipset 命令,什么是ipset,以及如何简单使用ipset
weixin_42298437的博客
04-29 4641
前一段时间一直在折磨着如何优化我写的防火墙,因为iptables的规则实在太多,无意中发现ipset,感觉像遇到了大救星,后来在网上google了两天发现这个方面的资料少的极其的可怜,我到现在都很想问一句,这到底是为什么,今天在这边贴点使用ipset的小结,希望能给大家提供点方便,同时也希望大家平时也发扬一点精神,好了,废话不多说了,呵呵!1.ipset 介绍(本人英语不是很好,所以有可能翻译的不...
子网划分的两个例子
weixin_33913332的博客
11-11 1121
文中有不对或者有不清楚的地方,请大家告诉我,谢谢! 子网划分的两个例子 例1:本例通过子网数来划分子网,未考虑主机数。 一家集团公司有12家子公司,每家子公司又有4个部门。上级给出一个172.16.0.0/16的网段,让给每家子公司以及子公司的部门分配网段。 思路:既然有12家子公司,那么就要划分12个子网段,但是每家子公司又有4个部门,因此又要在每家子公司所属的网段...
linux防火墙多个 多个ip配置,iptables一次性封多个ip,使用ipset 工具
weixin_42174176的博客
05-08 1613
ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/1、...
ipset基本用法和保存配置
ring__wang的博客
07-29 4973
ipset基本用法ipset基本用法需要保存配置,不然重启会失效 ipset基本用法 1.创建ipset集合 创建一个新的ipset集合:ipset create SETNAME TYPENAME ipset create bb hash:ip 2.向集合中添加条目 ipset add bb 2.2.2.2 ipset add bb 192.168.10.21-192.168.10.31 3.查询条目 ipset list ipset list aa 4.检查目标ip是否在ipset集合中 ipset te
ipset详解
热门推荐
一二三四吾
12-19 3万+
ipset介绍 ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilte
智慧酒店项目智能化系统汇报方案qy.pptx
04-30
智慧酒店项目智能化系统汇报方案qy.pptx
基于C语言编写的高并发Epoll服务器.zip
04-30
基于C语言编写的高并发Epoll服务器.zip
liba2ps1-4.14-bp156.5.5.ppc64le.rpm
04-30
liba2ps1-4.14-bp156.5.5.ppc64le
基于matlab实现囚徒困境中的博弈策略的模拟:尝试了采用几种策略进行博弈使最终赢的概率变大.rar
最新发布
04-30
基于matlab实现囚徒困境中的博弈策略的模拟:尝试了采用几种策略进行博弈使最终赢的概率变大.rar
毕业设计:springboot的乐器社区网站设计与实现(源码 + 数据库 + 说明文档)
04-30
毕业设计:springboot的乐器社区网站设计与实现(源码 + 数据库 + 说明文档) 2相关技术介绍 3 2.1 MySQL数据库简介 3 2.2 springboot编程技术 3 2.3 VUE框架 3 2.4 B/S结构 4 3系统可行性分析 5 3.1概况 5 3.2可行性研究的前提 5 3.3可行性分析 6 3.3.1技术的可行性 6 3.3.2经济的可行性 6 3.3.3操作可行性 6 3.3.4法律的可行性 7 3.4设计的基本思想 7 3.5性能需求 7 3.5.1系统的安全性 7 3.5.2数据的完整性 7 4 系统设计 9 4.1总体设计 9 4.2数据库的分析与设计 9 4.3数据库表 10 第五章 系统功能实现 12 5.1 乐器社区网站首页界面 12 5.2 乐器信息列表界面 12 5.3管理员管理界面 13 5.4新建乐器信息界面 14 5.5二手商品购买界面 14 6 系统测试 15 6.1测试说明 15 6.2功能测试 15 6.3可用性测试 15 6.5性能测试 16 6.6用例测试 16 6.7测试结果 16
2024-2030全球及中国鼓机踏板行业研究及十五五规划分析报告.docx
04-30
2024-2030全球及中国鼓机踏板行业研究及十五五规划分析报告
毕业设计:基于springboot的中小企业财务管理系统(源码 + 数据库 + 说明文档)
04-30
毕业设计:基于springboot的中小企业财务管理系统(源码 + 数据库 + 说明文档) 2 开发技术简介 6 2.1 基于B/S结构开发 6 2.2 jsp语言简介 6 2.3MYSQL简介 6 2.4 eclipse工具 7 3 需求分析 7 3.1 可行性分析 7 3.1.1 经济可行性 7 3.1.2 技术可行性 7 3.1.3 操作可行性 7 3.2 功能需求分析 8 3.3 非功能需求分析 8 4 系统设计 9 4.1 数据库设计 9 4.2 系统模块总体设计 10 5 系统详细设计 10 5.1 后台登录页面 10 5.2 管理员信息 11 5.3 财务人员信息 11 5.4 资产负债 12 5.5 税收管理 12 6 系统测试 13 6.1 测试的目的 13 6.2 测试的方法 13 6.3 测试的重要性 14 6.4 测试内容 14 6.5 测试结果 14
基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip
04-30
基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构建基于神经网络的图片识别系统源码.zip基于Springboot集成yolo3构
系统未安装iptablesipset或Dnsmasq没有开启ipset支持
06-11
另外,你需要确保你的系统已经安装了iptablesipset,并且Dnsmasq已经开启了ipset支持。你可以通过以下命令来检查是否已经安装iptablesipset: ``` sudo apt-get update sudo apt-get install iptables ipset ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值