使用redis来调用iptables,封禁恶意IP

最新推荐文章于 2020-10-24 16:59:15 发布
最新推荐文章于 2020-10-24 16:59:15 发布
阅读量152 收藏
点赞数
文章标签: 数据库 git python
原文链接:https://my.oschina.net/MasterXimen/blog/2990886
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

话不多说,通常大多数站点都会有被薅羊毛的情况,防护无非也就是业务层做处理,短时内不再响应恶意请求啦.虽然不响应了,可还是会消耗资源的,比如我要从数据库(当然也可能是内存数据库)去查询下,你是不是恶意的IP. 那么能否网络层或应用层去处理呢?在前几篇文章有写过应用层方案,今天就写下网络层方法.

说起iptables 除非是专业人员,像普通开发者是不会使用的,一堆表一堆链的一看就头疼.所以**RedisPushIptables**就应时而生,开发者不须为iptables复杂语法头疼,只需要像使用redis那样简单,就可使用iptables来阻挡恶意IP地址.

RedisPushIptables是一个redis模块,用于更新防火墙规则,以在指定的时间内拒绝IP地址或永久拒绝。比fail2ban更好用点,不到400行代码实现.适用任意业务,API调用,不需要分析应用日志,业务主动调用,缺点是要手动编码.不适用普通使用者.

该模块可以通过 redis 来操作 iptables 的 filter表INPUT链规则的增加和删除,可以用来动态调用防火墙。比如用来防御攻击。

但是前提要以 root 来运行,因为 iptables 需要 root 权限。

  #1: Compile hiredis
    cd redis-4.0**version**/deps/hiredis
    make 
    make install 
    
  #2: git clone  https://github.com/limithit/RedisPushIptables.git
    cd RedisPushIptables
    make 


加载模块
MODULE LOAD /path/to/iptablespush.so

语法
accept.insert - Filter table INPUT ADD ACCEPT
accept.delete - Filter table INPUT DEL ACCEPT
drop.insert - Filter table INPUT ADD DROP
drop.delete - Filter table INPUT DEL DROP
ttl.drop.insert - Dynamic delete filter table INPUT ADD DROP

127.0.0.1:6379>accept.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>accept.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>ttl.drop.insert 192.168.188.8 60
(integer) 13
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.188.8        0.0.0.0/0 
ACCEPT       all  --  192.168.188.8        0.0.0.0/0

iptables 动态删除配置

默认情况下,禁用键空间事件通知,虽然不太明智,但该功能会使用一些CPU。使用redis.confnotify-keyspace-eventsCONFIG SET启用通知。将参数设置为空字符串会禁用通知。为了启用该功能,使用了一个非空字符串,由多个字符组成,其中每个字符都具有特殊含义,如下表所示:

K Keyspace事件,使用keyspace @前缀发布。E Keyevent事件,使用keyevent @前缀发布。g通用命令(非类型特定),如DELEXPIRERENAME... $ String命令l列表命令设置命令h哈希命令z排序的设置命令x过期事件(每次键到期时生成的事件)e被驱逐的事件(为maxmemory驱逐密钥时生成的事件)g$lshzxe的别名,“AKE”字符串表示所有事件。

字符串中至少应存在KE,否则无论字符串的其余部分如何都不会传递任何事件。例如,只为列表启用键空间事件,配置参数必须设置为Kl,依此类推。字符串KEA可用于启用每个可能的事件。

# redis-cli config set notify-keyspace-events Ex
也可以使用以下redis.conf配置指令加载模块:

notify-keyspace-events Ex
#notify-keyspace-events ""  #注释掉这行

使用root用户运行ttl_iptables守护程序

root@debian:~/RedisPushIptables# ./ttl_iptables
日志在/var/log/ttl_iptables.log中查看

root@debian:~# redis-cli TTL.DROP.INSERT 192.168.18.5 60  
(integer) 12
root@debian:~# date
Fri Mar 15 09:38:49 CST 2019    
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.18.5        0.0.0.0/0 
root@debian:~/RedisPushIptables# tail -f /var/log/ttl_iptables.log 
pid=5670 03/15-09:39:48 iptables -D INPUT -s 192.168.18.5 -j DROP
root@debian:~# iptables -L INPUT -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

从此普通开发也能像运维那样,使用防火墙了.其实我不擅长写作,大伙凑合看吧,就这么多。

转载于:https://my.oschina.net/MasterXimen/blog/2990886

iptables安装使用 (为Redis开放特定IP
灵动的艺术的博客
11-06 2687
iptables安装使用 (为Redis开放特定IP)停用firewalliptables安装iptables配置启动iptables 停用firewall 由于centos7默认是使用firewall作为防火墙,先关闭firewall。 #停止firewall systemctl stop firewalld.service #禁止firewall开机启动 systemctl disabl...
linux 防火墙iptables
Zllvincent的博客
08-11 8401
一. 简介 笔者使用Jedis 连接 linux redis,始终报timeout 异常,关闭了linux 防火墙iptables 后能正确访问,但是为增强系统安全性,防火墙还是非常实用的防攻击软件,增加6379 端口作为redis 服务端口, iptables -A INPUT -p tcp -dport 6379 -j ACCEPT iptables -A OUTPUT -p tcp -spo...
iptables 智能限速方案
weixin_34314962的博客
05-06 246
网络分析与限速 网络现状:允许所有的数据通信。网络可管理,需手动进行。租用的线路下载速度是2M,上传512K。 目的:达到网络检测的自动化,智能管理,保证网络畅通无阻塞。 方法:根据IP地址进行数据包分析,通过脚本实现 要求:充分利用带宽,对合理数据需要通过,不合理数据通信进行拒绝。 一:现在网络存在以下弊端 P2P类软件主要有: 下载类工具:迅雷,TT,Flashget, ...
redis实战:redis限制某ip恶意请求
且行且吟
07-19 9799
在我们日常开发工作中,经常会遇到接口被恶意请求的情况,应用redis,我们可以很方便的限制某ip一定时间段内对接口的请求次数。 具体实现代码如下: 接口文件:api.php <?php require_once 'redis.php'; $ip = $_SERVER['REMOTE_ADDR']; $redis = new iredis(); //如果该ip存在值说明30秒内重复请求了,
iptables网络限制redis连接
46633791的博客
10-24 799
iptables网络限制 应用场景redisIP限制 一、216段ip 只允许本机访问本机216redis 二、223/213段ip,都放问223服务器redis 具体配置方式: 一: 216上执行 //允许173.32.11.216 ip 访问6379端口 iptables -A INPUT -s 173.32.11.216 -p tcp --dport 6379 -j ACCEPT //其他ip访问全部拒绝 iptables -A INPUT -p TCP --dport 6379 -j REJEC
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
本文给大家介绍的是Nginx利用Lua+Redis实现动态封禁IP的方法,下面话不多说了,来一起看看详细的介绍吧 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2...
iptables禁止ip
木鱼与代码
02-13 213
屏蔽单个IPiptables -I INPUT -s 124.115.0.199 -j DROP   设置完成,保存重启服务: /etc/rc.d/init.d/iptables save service iptables restart   参考文章: http://codante.org/linux-iptables-ip-blockade  ...
使用iptablesip
netinnet的专栏
11-04 897
在互联网上总有那么一撮人,因为各种不为人知的目的,去疯狂的骚扰你的服务器。我一个测试用的小web应用,最近不知道什么原因被盯上了,被骚扰个不停,有图有真相: 不堪其扰,所以在网上找了一下iptales封ip的设置方法,不敢独享,特晒出来与大家一起学习: #封单个IP iptables -I INPUT -s 123.45.6.7 -j DROP #封IP段,从123.0.0.1
linux 安装redis并可以在本地远程连接使用
qq_40990836的博客
06-24 1240
环境准备 ① Linux Centos 7.2 ② Redis 安装 下载redis wget http://redis.download.io/releases/redis-3.2.8.tar.gz // 解压redis tar -zxvf redis-3.2.8.tar.gz // 进入到解压目录 cd redis-3.2.8 // 执行make编译redis ma...
防火墙API,全新升级,支持iptablesipset、pf、nftables
weixin_34261739的博客
04-11 824
2019独角兽企业重金招聘Python工程师标准>>> ...
解决redis-cli连接时出现Could not connect to Redis at 127.0.0.1:6379: Connection refused
热门推荐
小泽
02-13 3万+
解决redis-cli连接时Could not connect to Redis at 127.0.0.1:6379: Connection refused 原因:服务端未启动 [root@localhost bin]# ./redis-server redis.conf [root@localhost bin]# redis-cli -bash: redis-cli: 未找到命令 [r...
iptables 防火墙管理
gredn的专栏
10-12 979
在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要封停一个IP使用下面这条命令: iptables -I INPUT -s ***.***.***
本地Linux环境下部署Redis集群详解
qq_40958438的博客
07-25 422
ps:博主只是自己在本地部署着玩的,并不是专业运维人员,顺便说一下部署的过程中踩过的一些坑 redis单机模式的搭建 ps:单机模式部署非常简单,大致说一下就好了 1.首先去官网下载一个3.0以上的redis包,因为redis3.0以上才支持集群模式 下载地址:https://redis.io/download 2.将下载文件放到/usr/local (这里使用文件传输工具,直接将下载...
Nginx结合Lua——Nginx通过Lua+Redis实现自动封禁访问频率高的IP
CapejasmineY的博客
10-12 1452
文章目录实验背景实验一、安装使用 OpenResty二、安装Redis三、在Nginx中使用Lua脚本访问Redis四、Nginx+Lua+Redis 实验背景 为了防止某恶意用户多次对服务器端口进行攻击,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。 实现 IP 黑名单的功能有很多途径: 在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单;
使用iptables进行ip封杀
sofire的专栏
01-08 128
把10.210.132.133这个ip地址封了:  /sbin/iptables -A INPUT -s 10.210.132.133 -j DROP 把上面那个封杀解除:  /sbin/iptables -D INPUT -s 10.210.132.133 -j DROP 或者用规则号:  /sbin/iptables -D INPUT 1 如果不指一个规则,则把1改成相应的数...
linux redis 远程访问
懂哥的博客
05-19 1万+
通常来说,生产环境下的Redis服务器只设置为仅本机访问(Redis默认也只允许本机访问)。有时候我们也许需要使Redi能被远程访问。此文介绍配置Redis允许远程访问。 配置 修改Redis配置文件/etc/redis/redis.conf,找到bind那行配置: vim /etc/redis/redis.conf 去掉#注释并改为: bind 0.0.0.0 在redis3...
解决redis 6379本地可以访问,外网却不行
波波
09-11 1万+
分三个方面进行检查: 如果是云服务器(腾讯云,阿里云),检查安全组是否限制了改端口的访问,应该写死固定ip,因为全部开放服务器容易被黑 查看防火墙 查看redis配置文件redis.conf里面的bind参数设置的ip,一般是只会监听127.0.0.1,会导致外网无法访问,可以设置ip,也可以直接改成0.0.0.0,开放所有ip访问,但是会导致安全问题,应该设置密码(默认没有密码)  ...
Redis系统防火墙配置、自身配置、设置密码
yt_php的博客
06-08 4405
1/防火墙端口:Linux系统开放redis端口才能正常使用。系统防火墙配置地址:/etc/sysconfig/下,执行 vim /etc/sysconfig/iptablesyyp复制一行,修改端口为6379保存退出,重启防火墙2/修改redis配置文件,绑定IP:可以绑定一个IP,或者解除绑定IP(任何IP都可以访问)redis配置文件地址:/usr/local/redis/etc/ ,执行 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值