iptables限制ip访问_使用ipset工具设置iptables防火墙黑名单和白名单

最新推荐文章于 2024-01-19 21:04:28 发布
最新推荐文章于 2024-01-19 21:04:28 发布
阅读量1.3k 收藏 3
点赞数
文章标签: iptables限制ip访问 javafx程序中设置每隔20分钟 执行一次
871e7b0a2180e9c8991babcb23c9625b.png

官方介绍

IP集是Linux内核内部的一个框架,可以通过ipset实用程序进行管理 。根据类型的不同,IP集可以以某种方式存储IP地址,网络,(TCP / UDP)端口号,MAC地址,接口名称或它们的组合,以确保将条目与该集匹配时的闪电速度。

如果你想

  • 一口气存储多个IP地址或端口号,并通过iptables与集合进行匹配 ;
  • 针对IP地址或端口动态更新iptables规则,而不会影响性能;
  • 使用一个iptables规则表达复杂的基于IP地址和端口的规则集, 并受益于IP集的速度;

那么ipset可能是适合您的工具。

IP集由Jozsef Kadlecsik编写,它基于Joakim Axelsson,Patrick Schaaf和Martin Josefsson的ippool。

ipset的特点:

  • ipset是linux系统内的一个管理IP集合的工具。
  • iptables可以匹配ipset管理的IP集合。
  • 使用ipset可以动态的更新iptables规则(这点很好,只需要ipset更新ip集,iptables不用重启即生效)。
  • ipset支持集合类型存储ip,使得数据查找比较高效。

1、ipset工具安装

yum install ipset-service

2、设置ipset开机自启动

systemctl enable ipset

#其他命令

systemctl start ipset

systemctl status ipset

systemctl stop ipset

3、ipset创建一个IP集的操作

ipset create blacklist hash:net maxelem 100000 #黑名单

ipset create whitelist hash:net maxelem 100000 #白名单

说明:ipset默认可以存储65536个元素;maxelem指定集合大小,可以不指定

4、ipset查看IP集的操作

ipset list blacklist #查看黑名单IP集

ipset list whitelist #查看白名单IP集

ipset list #查看所有的IP集

5、ipset添加ip的操作(这里以blacklist为例)

ipset add blacklist 192.168.1.1

#加上-exist参数如果whitelist里已经存在该ip执行不会报错,再批量导入ip集合的时候很有用

ipset -exist add blacklist 192.168.1.1

6、ipset删除ip的操作(这里以blacklist为例)

ipset del blacklist 192.168.1.1

7、保存ipset操作

ipset所有的设定都是运行在内存中,如果ipset服务或者服务器重启了就会失效,所以需要进行下面的操作

service ipset save

注意:每次上面命令只能保存本次保存之前的ipset操作,保存之后进行的ipset如果没有再次执行上面的操作就 重启了那这次ipset操作仍然是无效的,可以设置ipset服务停止时save操作。

所以,你还需要进行一下设置,将IPSET_SAVE_ON_STOP设置为yes,默认是no

vi /etc/sysconfig/ipset-config

# Save current ipsets on stop.

# Value: yes|no, default: no

# Saves all ipsets to /etc/ipset/ipset if service gets stopped

# (e.g. on system shutdown).

IPSET_SAVE_ON_STOP="yes"

8、ipset删除IP集的操作(这里以blacklist为例)

ipset destroy blacklist

9、ipset备份IP集的操作(这里以blacklist为例)

ipset save blacklist -f blacklist.txt

10、ipset导入一个IP集的操作(这里以blacklist为例)

ipset restore -f blacklist.txt

11、iptables防火墙配置黑名单和白名单的操作

vi /etc/sysconfig/iptables #加入如下规则:

#设置黑名单

-I INPUT -m set --match-set blacklist src -p tcp -j DROP

#当然你也可以像下面这样指定单个的端口

-I INPUT -m set --match-set blacklist src -p tcp --destination-port 80 -j DROP

#设置白名单

-I INPUT -m set --match-set whitelist src -p tcp -j ACCEPT

#设置完重启防火墙规则,测试一下吧

12、扩展应用

思考,查看nginx日志,会发现每天有很多恶意访问服务器的日志,如何收集这些恶意访问者的IP并自动加入iptables黑名单blacklist集,只要写个shell脚本分析日志将ip报错到某个文本文件并使用ipset工具导入到IP集中即可,如何创建一个定时任务,每隔1分钟或者3分钟执行一下。

weixin_39581945
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于iptables 实现 ip 黑名单名单
nextvary的博客
05-23 692
基于iptables 实现 ip 黑名单名单
Linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
01-20
前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个问题,但是还是想暂时取消CDN加速和防护来测试下服务器的性能优化及安全防护。 前天写的Shell脚本是加入到crontab计划任务执行的,每5分钟执行一次,今天实际测试了下,可还是可以用的,但是感觉5分钟时间有点过长,无法做到严密防护。于是稍微改进了下代码,现在简单的分享下! 一、Shell代码 #!/bin/bash #Author:ZhangGe #Desc:Auto Deny Black_
iptables设置名单
m0_51627713的博客
07-21 3467
首先要明两个概念:黑名单名单黑名单:把所有人当做好人,只拒绝坏人。 名单:把所有人当做坏人,只放行好人。 看起来似乎名单安全一点,黑名单接受的范围大一点。 对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人了,如此可以建立黑名单机制了。 如果默认规则是DROP,即是把所有人当做坏人,可以建立名单机制。 使用C7 x86_64为实验环境 CentOS7默认的防火墙不是iptables,而是firewalle
使用ipset 防火墙,开端口,开黑名单
AmbroseLe
04-30 545
【代码】使用ipset 防火墙,开端口,开黑名单
python + redis +ipset实现IP黑名单的动态添加及解封禁
weixin_30301183的博客
09-05 443
1.抽空用python做了一个 动态添加/删除IP黑名单 的程序(或者说实现方案),项目地址:   https://gitee.com/lowmanisbusy/ip_blacklists, 2.这里的实现方案和使用nginx实现IP黑名单是有区别的,个人理解:   在nginx实现 IP黑名单,在一定程度上,仍然会占用服务器资源,使用ipset工具进行访问限制会进一步减小对服...
linux防火墙设置限制ip,ipset-linux防火墙的扩展实现对指定ip限制访问
weixin_31096417的博客
05-06 313
参考:http://blog.csdn.net/dog250/article/details/41123469 于Linux-2.6.32内核上编译ipset-6.23的坎坷经历http://netsecurity.51cto.com/art/201501/463157.htm 如何在Linux上高效阻止恶意IP地址?http://blog.csdn.net/opensure/ar...
防火墙名单设置方法_iptables_centos6
10-31
防火墙名单设置方法_iptables_centos6 防火墙名单设置方法_iptables_centos6 防火墙名单设置方法_iptables_centos6
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
centOS7 下利用iptables配置IP地址名单的方法
09-15
下面小编就为大家带来一篇centOS7 下利用iptables配置IP地址名单的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
服务器安全-使用ipsetiptables禁止国外IP访问
JAVA拾贝
04-07 3984
服务器遭受ddos攻击,发现发部分IP来自国外…… IPSET安装 yum install ipset // 安装ipset ipset create china hash:net hashsize 10000 maxelem 1000000 // 创建地址表 ipset add china 172.18.0.0/16 ipset list china 获取国内IP地址段并导入 vi ipset_china.sh #!/bin/bash rm -rf cn.zone wget ..
ipset+iptabls 禁止国外ip访问
qq_42249813的博客
10-11 408
ipset+iptabls 禁止国外ip访问
使用IPSET屏蔽美国IP
最新发布
Anthony的专栏
01-19 427
最近被美国IP盯上了,瞄的不间断攻击ADD-TO-CART页面。记录下用IPSET屏蔽过程。执行如下脚本,将IP地址段中的记录转换为Ipset指令,保存在。
IP名单(iptables + ipset :允许国内ip + 自定义ip 访问系统udp端口)
Dark_gezi的博客
04-22 1973
########################## ## IP名单(iptables + ipset :允许国内ip + 自定义ip 访问系统udp端口) ########################## 1、安装 ipset yum install ipset #创建china 国内ipipset create china hash:net hashsize 10000 maxelem 1000000 #查看china 国内ipipset list china 2、 添加国内ip集合
【转】Linux防火墙(iptables)之黑名单
weixin_30576827的博客
01-15 1415
原文:https://www.jianshu.com/p/b221b790cb1e https://linux-audit.com/blocking-ip-addresses-in-linux-with-iptables/ iptables删除规则 So if you would like to delete second rule : iptables -D INPUT ...
MT7688路由器开发板添加Mac名单
li3007liuu的专栏
04-11 1126
mt7688路由器开发板官方给的系统下没找到修改的配置文件,通过find命令找到文件位置如下: 通过iptables进行MAC过滤 修改文件:etc/storage/post_iptables_script.sh 添加内容:iptables -I FORWARD -m mac --mac-source mac1xxxx -j ACCEPT iptables -I FORWARD 2 -m ma
使用 iptables实现IP网段的屏蔽(名单
weixin_72098711的博客
11-13 707
IP 地址段 10.1.0.0/16 的所有访问流量拦截,从而有效的隔离这个 IP 段的所有网络请求。
# 设置防火墙名单
qq_39983826的博客
12-31 1429
适用的操作系统centos 执行步骤后,除当前集群内的主机,其它主机均不能通过该端口访问 1、备份iptables iptables-save > iptables.rule 添加访问名单 此文档以redis、es端口为例,如果其它端口请替换8531:8536、9200、9300,192.168.1.2/192.168.1.3/192.168.1.4为集群ip地址,需要根据实际情况进行替换集群所有节点都需要执行,执行完成后192.168.1.2/192.168.1.3/192.168.1.4能访问
iptables防火墙配置名单
09-30
iptables防火墙可以通过设置名单来允许特定的IP地址或端口访问系统。配置iptables名单的方法如下: 1. 首先,安装iptables软件包: yum install iptables iptables-services -y 2. 然后,启动iptables服务并设置开机自启动: systemctl enable iptables.service 3. 编辑iptables配置文件,添加允许访问的规则。假设我们要允许IP地址为192.168.0.100的主机访问系统的SSH端口22,可以使用以下命令: iptables -A INPUT -p tcp -s 192.168.0.100 --dport 22 -j ACCEPT 4. 最后,保存iptables配置并重新加载配置文件: service iptables save service iptables restart 现在,IP地址为192.168.0.100的主机就可以通过SSH访问系统了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值