使用redis来调用iptables,封禁恶意IP

最新推荐文章于 2024-04-04 22:25:52 发布
最新推荐文章于 2024-04-04 22:25:52 发布
阅读量363 收藏
点赞数
分类专栏: Redis 网络编程

      话不多说,通常大多数站点都会有被薅羊毛的情况,防护无非也就是业务层做处理,短时内不再响应恶意请求啦.虽然不响应了,可还是会消耗资源的,比如我要从数据库(当然也可能是内存数据库)去查询下,你是不是恶意的IP. 那么能否网络层或应用层去处理呢?在前几篇文章有写过应用层方案,今天就写下网络层方法.

      说起iptables 除非是专业人员,像普通开发者是不会使用的,一堆表一堆链的一看就头疼.所以**RedisPushIptables**就应时而生,开发者不须为iptables复杂语法头疼,只需要像使用redis那样简单,就可使用iptables来阻挡恶意IP地址.

RedisPushIptables是一个redis模块

      该模块可以通过 redis 来操作 iptables 的 filter表INPUT链规则的增加和删除,可以用来动态调用防火墙。比如用来防御攻击。

但是前提要以 root 来运行,因为 iptables 需要 root 权限。


git clone https://github.com/limithit/RedisPushIptables.git
cd RedisPushIptables && make

加载模块
MODULE LOAD /path/to/iptablespush.so

语法
accept.insert - Filter table INPUT ADD ACCEPT
accept.delete - Filter table INPUT DEL ACCEPT
drop.insert - Filter table INPUT ADD DROP
drop.delete - Filter table INPUT DEL DROP


127.0.0.1:6379>accept.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>accept.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.insert 192.168.188.8
(integer) 13
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.188.8        0.0.0.0/0 
ACCEPT       all  --  192.168.188.8        0.0.0.0/0

从此普通开发也能像运维那样,使用防火墙了.其实我不擅长写作,大伙凑合看吧,就这么多。

原文链接:https://my.oschina.net/MasterXimen/blog/2990886

zzhongcy
关注
专栏目录
nginx+lua+redis自动识别封解禁IP频繁访问
zengbin3013的专栏
07-12 5559
在站点遇到攻击且无明显攻击特征,造成站点访问慢,nginx不断返回502等错误时,可利用nginx+lua+redis实现在指定的时间段内,若单IP的请求量达到指定的数量后对该IP进行封禁,nginx返回403禁止访问。利用redis的expire命令设置封禁IP的过期时间达到在指定的封禁时间后实行自动解封的目的。   一、安装环境: CentOS  x64 release 6.4(Fina
我是如何通过Nginx日志实时封禁风险IP
热门推荐
草堂笺
11-17 1万+
实时采集并分析Nginx日志, 自动化封禁风险IP方案 文章地址: https://blog.piaoruiqing.com/2019/11/17/block-ip-by-analyzing-nginx-logs/ 前言 本文分享了自动化采集、分析Nginx日志并实时封禁风险IP的方案及实践. 阅读这篇文章你能收获到: 日志采集方案. 风险IP评估的简单方案. IP封禁策略及方案. 阅读本...
脚本取redis 值,封杀攻击ip
qq_36270681的博客
03-07 123
*/10 * * * */win/sh/firewalld_intercept_ip.sh #!/bin/bash IPs=`redis-cli -h 192.168.1.70 -p 6779 -a 'xxxx' -n 0 keys 'monitor:ip*' | awk -F : '{print $4}'` for ip in $IPs;do echo $i ...
Java--业务场景:SpringBoot 通过Redis进行IP封禁实现接口防刷
芝麻馅的博客
01-08 1587
在实际项目中,有些攻击者会使用自动化工具来频繁刷新接口,造成系统的瞬时吞吐量提高,给系统带来很大的压力。要保障服务的安全性,需要防止重要的接口被恶意刷新,接口防刷的方式可以通过设置验证码,IP封禁,安全参数校验等方法。本文主要采用Redis将同一时间内频繁访问同一接口的IP封禁一段时间的方式来防止接口被恶意刷新。
基于springboot+redis+nginx的IP封控策略实现
qq_46788415的博客
01-31 863
基于nginx+springboot+redisIP封控策略实现
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
本文给大家介绍的是Nginx利用Lua+Redis实现动态封禁IP的方法,下面话不多说了,来一起看看详细的介绍吧 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2...
如何通过Nginx日志实时封禁风险IP
程序员麦冬的博客(公众号同名)
07-27 630
前言 本文分享了自动化采集、分析Nginx日志并实时封禁风险IP的方案及实践. 阅读这篇文章你能收获到: 日志采集方案. 风险IP评估的简单方案. IP封禁策略及方案. 阅读本文你需要: 熟悉编程. 熟悉常用Linux命令 了解Docker. 背景 分析nginx访问日志时, 看到大量404的无效请求, URL都是随机的一些敏感词. 而且近期这些请求越来越频繁, 手动批量封禁了一些IP后, 很快就有新的IP进来. 因此萌生了通过自动化分析Nginx日志实时封禁IP的想法. 需求 分析
赞.109个实用 Shell 脚本实例,代码清晰拿来就能用(附pdf)
m0_67788957的博客
03-20 252
Shell脚本,就是利用Shell的命令解释的功能,对一个纯文本的文件进行解析,然后执行这些功能,也可以说Shell脚本就是一系列命令的集合。 Shell可以直接使用在win/Unix/Linux上面,并且可以调用大量系统内部的功能来解释执行程序,如果熟练掌握Shell脚本,可以让我们操作计算机变得更加轻松,也会节省很多时间。 本篇文档整理了来自网络的109个shell脚本,希望对大家有所帮助。 代码清晰可复制,电子版有利于大家随时练习,提升实战能力,是融汇了Shell脚本所有核心知识点的集大成之作..
ADSL 拨号代理的搭建
墨鱼菜鸡
07-11 1020
From:崔庆才 -轻松获得海量稳定代理!ADSL拨号代理的搭建 我们尝试维护过一个代理池。代理池可以挑选出许多可用代理,但是常常其稳定性不高、响应速度慢,而且这些代理通常是公共代理,可能不止一人同时使用,其IP被封的概率很大。另外,这些代理可能有效时间比较短,虽然代理池一直在筛选,但如果没有及时更新状态,也有可能获取到不可用的代理。 如果要追求更...
关于新版CenterOS7配置redis出现iptables错误的解决方法
01-18
关于新版CenterOS7配置redis出现redisiptables错误的解决方法, 排除/etc/rc.d/init.d/iptables: No such file or directory 错误原因 , CentoOS7下配置redis并将端口通过防火墙解决方法;
SpringBoot 项目使用 Redis 对用户 IP 进行接口限流
m0_73311735的博客
07-28 181
在下新建limit.lua-- 获取redis键-- 获取第一个参数(次数)-- 获取第二个参数(时间)-- 获取当前流量-- 如果current值存在,且值大于规定的次数,则拒绝放行(直接返回当前流量)end-- 如果值小于规定次数,或值不存在,则允许放行,当前流量数+1 (值不存在情况下,可以自增变为1)-- 如果是第一次进来,那么开始设置键的过期时间。end-- 返回当前流量@Slf4j@Aspect@Component@Autowired@Autowired。
linux 自启动iptable_LINUX开机自启动redis服务
weixin_39955418的博客
02-01 202
以下是linux打开端口命令的使用方法。nc -lp 23 &(打开23端口,即telnet)netstat -an | grep 23 (查看是否打开23端口)做redis时想开机自启动6379端口:(本质是要自启动端口所对应的服务)1. 修改/etc/redis.conf,打开后台运行选项:# By default Redis does not run as a daemon. Use...
iptables网络限制redis连接
46633791的博客
10-24 780
iptables网络限制 应用场景redisIP限制 一、216段ip 只允许本机访问本机216redis 二、223/213段ip,都放问223服务器redis 具体配置方式: 一: 216上执行 //允许173.32.11.216 ip 访问6379端口 iptables -A INPUT -s 173.32.11.216 -p tcp --dport 6379 -j ACCEPT //其他ip访问全部拒绝 iptables -A INPUT -p TCP --dport 6379 -j REJEC
linux iptables 端口/映射/转发
小东子的博客
01-08 1002
通过iptables端口映射,  实现 只有内网ip服务 通过(借助) 外网ip主机 与外界通信   场景介绍 腾讯云主机一台,内网ip为: 172.27.0.6 腾讯云redis一个,内网ip为: 172.27.0.3(没外网ip,不能外网访问) iptables -t nat -A PREROUTING -d 172.27.0.6 -p tcp --dport 6379 -j DN...
转载iptables禁止外网访问redis server服务默认端口6379的命令
yushaolong1234的博客
09-04 2047
http://www.zuidaima.com/share/2643146230549504.htm iptables禁止外网访问redis server服务默认端口6379的命令 今天中午吃饭时阿里云短信提醒http状态吗500,有图有真相 于是赶紧通过手机ssh上去看了下redis服务正常,info了下也正常 但是keys查询key时抛出: redis noauth auth...
linux限制ip访问6379端口,Linux防火墙Iptable设置只允许某ip访问某端口
weixin_42138408的博客
05-08 624
2018年01月18日 19:32:58 衣舞晨风 阅读数:3259版权声明:作者:jiankunking 出处:http://blog.csdn.net/jiankunking 本文版权归作者和CSDN共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。https://blog.csdn.net/xunzaosiyecao/article/details/79099...
使用iptables规则,禁止外部服务器访问本地服务器中容器部署的redis
你说亮不亮的博客
04-23 385
首先要搞明白的是iptables底层的“四表五链”,默认的是filter表,我们的docker的规则是不可以放在这里的,使用iptables -t raw -L 、iptables -t nat -L和iptables -t mangle -L可以看到nat表和mangle表都有很多规则,而raw表是空的;为此,我需要在服务器上添加iptables规则,禁止其他用户访问我的redis,只允许我服务器上的程序或容器访问redis的6379端口。上面可以看出,我的11.0.1.11所在的网卡为ens33。
Linux操作系统之防火墙、redis安装
最新发布
weixin_50651979的博客
04-04 974
iptables -t filter -P INPUT DROP #将filter表中的INPUT链的默认规则修改为DROP (默认修改filter表)防火墙会根据数据包中的协议、端口、地址、状态、内容等信息进行判断、判断这个数据包是否为合法包,从而对数据包进行传输控制。1、防火墙的作用:对通过防火墙的数据包进行过滤,只让安全的数据包通行,让不安全的数据包禁止通行。厂商:思科、华为、pix、天融信、启明星辰、绿盟、联软。iptables中,可以拦截数据包的表:filter。
Nginx+Lua+Redis动态封禁IP:实现与配置详解
"这篇文章主要介绍了如何使用Nginx结合Lua和Redis来动态封禁IP的解决方案,以应对网站遭受攻击或异常流量导致的性能下降。通过Nginx的Lua模块和Redis缓存服务,可以实现在Web服务器层面对IP进行有效的黑名单管理。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值