如何在 Linux 下大量屏蔽惡意 IP 地址

追馬 ? ? Linux干貨, 安全運維

很多情況下,你可能需要在Linux下屏蔽IP地址。比如,作為一個終端用戶,你可能想要免受間諜軟件或者IP追蹤的困擾?;蛘弋斈阍谶\行P2P軟
件時。你可能想要過濾反P2P活動的網絡鏈接。如果你是一名系統管理員,你可能想要禁止垃圾IP地址訪問你們的公司郵件服務器。或者你因一些原因想要禁止
某些國家訪問你的web服務。在許多情況下,然而,你的IP地址屏蔽列表可能會很快地增長到幾萬的IP。該如何處理這個?

如何在 Linux 下大量屏蔽惡意 IP 地址

Netfilter/IPtables 的問題

在Linux中,可以很簡單地用netfilter/iptables框架禁止IP地址:

1
$sudoiptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要完全屏蔽一個IP地址段,你可以用下面的命令很簡單地做到:

1
$sudoiptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而,當你有1000個獨立IP地址,且不帶CIDR(無類別域間路由)前綴,你該怎么做?你要有1000條iptable規則!這顯然這并不適于大規模屏蔽。

1
2
3
4
$sudoiptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$sudoiptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$sudoiptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .

什么是IP集?

這時候就是IP集登場了。IP集是一個內核特性,它允許多個(獨立)IP地址、MAC地址或者甚至是端口號被編碼和有效地存儲在位圖/哈希內核數據結構中。一旦IP集創建之后,你可以創建一條iptables規則來匹配這個集合。

你馬上就會看見IP集合的好處了,它可以讓你用一條iptable規則匹配多個ip地址!你可以用多個IP地址和端口號的方式來構造IP集,并且可以動態地更新規則而沒有性能影響。

在Linux中安裝IPset工具

為了創建和管理IP集,你需要使用稱為ipset的用戶空間工具。

要在Debian、Ubuntu或者Linux Mint上安裝:

1
$sudoapt-getinstallipset

Fedora或者CentOS/RHEL 7上安裝:

1
$sudoyuminstallipset

使用IPset命令禁止IP

讓我通過簡單的示例告訴你該如何使用ipset命令。

首先,讓我們創建一條新的IP集,名為banthis(名字任意):

1
$sudoipset create banthishash:net

第二個參數(hash:net)是必須的,代表的是集合的類型。IP集有多個類型。hash:net類型的IP集使用哈希來存儲多個CIDR塊。如果你想要在一個集合中存儲單獨的IP地址,你可以使用hash:ip類型。

一旦創建了一個IP集之后,你可以用下面的命令來檢查:

1
$sudoipset list

如何在 Linux 下大量屏蔽惡意 IP 地址

這顯示了一個可用的IP集合列表,并有包含了集合成員的詳細信息。默認上,每個IP集合可以包含65536個元素(這里是CIDR塊)。你可以通過追加”maxelem N”選項來增加限制。

1
$sudoipset create banthishash:net maxelem 1000000

現在讓我們來增加IP塊到這個集合中:

1
2
3
4
$sudoipset add banthis 1.1.1.1/32
$sudoipset add banthis 1.1.2.0/24
$sudoipset add banthis 1.1.3.0/24
$sudoipset add banthis 1.1.4.10/24

你會看到集合成員已經改變了。

1
$sudoipset list

如何在 Linux 下大量屏蔽惡意 IP 地址

現在是時候去創建一個使用IP集的iptables規則了。這里的關鍵是使用”-m set –match-set “選項。

現在讓我們創建一條讓之前那些IP塊不能通過80端口訪問web服務的iptable規則??梢酝ㄟ^下面的命令:

1
$sudoiptables -I INPUT -mset–match-setbanthis src -p tcp –destination-port 80 -j DROP

如果你愿意,你可以保存特定的IP集到一個文件中,以后可以從文件中還原:

1
2
3
$sudoipset save banthis -f banthis.txt
$sudoipset destroy banthis
$sudoipset restore -f banthis.txt

上面的命令中,我使用了destory選項來刪除一個已有的IP集來看看我是否可以還原它。

自動IP地址禁用

現在你應該看到了IP集合的強大了。維護IP黑名單是一件繁瑣和費時的工作。實際上,有很多免費或者收費的服務可以來幫你完成這個。一個額外的好處是,讓我們看看如何自動將IP黑名單加到IP集中。

首先讓我們從iblocklist.com得到免費的黑名單,這個網站有不同的免費和收費的名單。免費的版本是P2P格式。

接下來我要使用一個名為iblocklist2ipset的開源Python工具來將P2P格式的黑名單轉化成IP集。

首先,你需要安裝了pip(參考這個指導來安裝pip)。

使用的下面命令安裝iblocklist2ipset。

1
$sudopipinstalliblocklist2ipset

在一些發行版如Fedora,你可能需要運行:

1
$sudopython-pipinstalliblocklist2ipset

現在到iblocklist.com,抓取任何一個P2P列表的URL(比如”level1″列表)。

如何在 Linux 下大量屏蔽惡意 IP 地址

粘帖URL到下面的命令中。

1
2
3
$ iblocklist2ipset generate \
–ipset banthis”http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz”\
> banthis.txt

上面的命令運行之后,你會得到一個名為banthis.txt的文件。如果查看它的內容,你會看到像這些:

1
2
3
4
5
6
7
8
create banthishash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14

你可以用下面的ipset命令來加載這個文件:

1
$sudoipset restore -f banthis.txt

現在可以查看自動創建的IP集:

1
$sudoipset list banthis

在寫這篇文章時候,“level1”類表包含了237,000個屏蔽的IP列表。你可以看到很多IP地址已經加入到IP集中了。

最后,創建一條iptables命令來屏蔽這些壞蛋!

總結

這篇文章中,我描述了你該如何用強大的ipset來屏蔽不想要的IP地址。同時結合了第三方工具iblocklist2ipset,這樣你就可以流
暢地維護你的IP屏蔽列表了。那些對ipset的性能提升好奇的人,下圖顯示了iptables在使用和不使用ipset的基準測試結果(注意時間坐標
軸)。

如何在 Linux 下大量屏蔽惡意 IP 地址

告訴我你多么喜歡這個。:-)


文章鏈接:http://blog.jobbole.com/84478/

原創文章,作者:追馬,如若轉載,請注明出處:http://www.www58058.com/523

(0)
追馬追馬
上一篇 2015-02-26
下一篇 2015-02-26

相關推薦

  • man命令的用法

    man 命令的用法    在linux運維工作中,經常會有一些命令我們不是很清楚它們的準確用法,這時候我們就需要去查詢這些命令的用法,linux中就有很多文檔幫助我們去了解這些命令的用法,其中就有一條命令man,下面我就總結一下它的用法。     man 是 manual 的簡寫,提供命令的幫助文件。   &…

    Linux干貨 2017-02-17

  • 負載調度器:調度算法

    調度算法(ipvs scheduler) 起點公平:平均分配,不管分別干的怎么樣。 結果公平:誰現在還剩下的在處理的少,就分配給誰。      根據其調度時是否考慮各RS當前的負載狀態,可分為靜態方法和動態方法兩種: 靜態方法 靜態方法:僅根據算法本身進行調度; RR      …

    2016-10-28

  • 基于BIND實現的DNS正反解析及主從DNS的配置

    基于BIND實現的DNS正反解析及主從DNS的配置 標簽: DNS正反解析 DNS主從復制 測試環境 準備2臺虛擬機,一臺為主DNS,IP地址為:192.168.103.161。另一臺為從DNS,IP地址為:192.168.103.162兩臺都裝好bind,所需包有:bind,bind-utils,bind-libs 主DNS的配置文件 配置主文件/etc/…

    Linux干貨 2016-04-11

  • 第四周作業

    1、復制/etc/skel目錄為/home/tuser1,要求/home/tuser1及其內部文件的屬組和其它用戶均沒有任何訪問權限。                 使用到命令chmod &nbsp…

    Linux干貨 2017-02-02

  • N25_第一周

    計算機組成 計算機通常由硬件和軟件組成1.硬件 CPU CPU通常由控制器和運算器組成??刂破鳎菏钦麄€計算機的中樞神經,其功能是對程序規定的控制信息進行解釋,根據其要求進行控制,調度程序、數據、地址,協調計算機各部分工作及內存與外設的訪問等。運算器:是對數據進行各種算術運算和邏輯運算,即對數據進行加工處理。 存儲 存儲器的功能是存儲程序、…

    Linux干貨 2016-12-03

  • Ip 地址 及 網絡配置

    Ip 地址 及 網絡配置 IP地址 ? 它們可唯一標識 IP 網絡中的每臺設備 ? 每臺主機(計算機、網絡設備、外圍設備)必須具有唯 一的地址 IP地址由兩部分組成:       網絡ID:  標識網絡  每個網段分配一個網絡ID       主機 ID:  標識單個主…

    Linux干貨 2016-09-05

評論列表(2條)

  • 菱鎂板
    菱鎂板 2015-04-07 12:03

    好文章,內容義正詞嚴.禁止此消息:nolinkok@163.com

  • 水泥板
    水泥板 2015-04-07 12:04

    不錯的文章,內容妙趣橫生.禁止此消息:nolinkok@163.com

欧美性久久久久