如何在 Linux 下大量屏蔽惡意 IP 地址

追馬 ? 2015-02-26 11:15 ? Linux干貨, 安全運維

很多情況下，你可能需要在Linux下屏蔽IP地址。比如，作為一個終端用戶，你可能想要免受間諜軟件或者IP追蹤的困擾。或者當你在運行P2P軟
件時。你可能想要過濾反P2P活動的網絡鏈接。如果你是一名系統管理員，你可能想要禁止垃圾IP地址訪問你們的公司郵件服務器。或者你因一些原因想要禁止
某些國家訪問你的web服務。在許多情況下，然而，你的IP地址屏蔽列表可能會很快地增長到幾萬的IP。該如何處理這個？

如何在 Linux 下大量屏蔽惡意 IP 地址

Netfilter/IPtables 的問題

在Linux中，可以很簡單地用netfilter/iptables框架禁止IP地址：

1	$sudoiptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要完全屏蔽一個IP地址段，你可以用下面的命令很簡單地做到：

1	$sudoiptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而，當你有1000個獨立IP地址，且不帶CIDR（無類別域間路由）前綴，你該怎么做？你要有1000條iptable規則！這顯然這并不適于大規模屏蔽。

$sudoiptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

$sudoiptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

$sudoiptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

. . . .

什么是IP集?

這時候就是IP集登場了。IP集是一個內核特性，它允許多個（獨立）IP地址、MAC地址或者甚至是端口號被編碼和有效地存儲在位圖/哈希內核數據結構中。一旦IP集創建之后，你可以創建一條iptables規則來匹配這個集合。

你馬上就會看見IP集合的好處了，它可以讓你用一條iptable規則匹配多個ip地址！你可以用多個IP地址和端口號的方式來構造IP集，并且可以動態地更新規則而沒有性能影響。

在Linux中安裝IPset工具

為了創建和管理IP集，你需要使用稱為ipset的用戶空間工具。

要在Debian、Ubuntu或者Linux Mint上安裝：

1	$sudoapt-getinstallipset

Fedora或者CentOS/RHEL 7上安裝：

1	$sudoyuminstallipset

使用IPset命令禁止IP

讓我通過簡單的示例告訴你該如何使用ipset命令。

首先，讓我們創建一條新的IP集，名為banthis（名字任意）：

1	$sudoipset create banthishash:net

第二個參數(hash:net)是必須的，代表的是集合的類型。IP集有多個類型。hash:net類型的IP集使用哈希來存儲多個CIDR塊。如果你想要在一個集合中存儲單獨的IP地址，你可以使用hash:ip類型。

一旦創建了一個IP集之后，你可以用下面的命令來檢查：

1	$sudoipset list

如何在 Linux 下大量屏蔽惡意 IP 地址

這顯示了一個可用的IP集合列表，并有包含了集合成員的詳細信息。默認上，每個IP集合可以包含65536個元素（這里是CIDR塊）。你可以通過追加”maxelem N”選項來增加限制。

1	$sudoipset create banthishash:net maxelem 1000000

現在讓我們來增加IP塊到這個集合中：

$sudoipset add banthis 1.1.1.1/32

$sudoipset add banthis 1.1.2.0/24

$sudoipset add banthis 1.1.3.0/24

$sudoipset add banthis 1.1.4.10/24

你會看到集合成員已經改變了。

1	$sudoipset list

如何在 Linux 下大量屏蔽惡意 IP 地址

現在是時候去創建一個使用IP集的iptables規則了。這里的關鍵是使用”-m set –match-set “選項。

現在讓我們創建一條讓之前那些IP塊不能通過80端口訪問web服務的iptable規則?？梢酝ㄟ^下面的命令：

1	$sudoiptables -I INPUT -mset–match-setbanthis src -p tcp –destination-port 80 -j DROP

如果你愿意，你可以保存特定的IP集到一個文件中，以后可以從文件中還原：

$sudoipset save banthis -f banthis.txt

$sudoipset destroy banthis

$sudoipset restore -f banthis.txt

上面的命令中，我使用了destory選項來刪除一個已有的IP集來看看我是否可以還原它。

自動IP地址禁用

現在你應該看到了IP集合的強大了。維護IP黑名單是一件繁瑣和費時的工作。實際上，有很多免費或者收費的服務可以來幫你完成這個。一個額外的好處是，讓我們看看如何自動將IP黑名單加到IP集中。

首先讓我們從iblocklist.com得到免費的黑名單，這個網站有不同的免費和收費的名單。免費的版本是P2P格式。

接下來我要使用一個名為iblocklist2ipset的開源Python工具來將P2P格式的黑名單轉化成IP集。

首先，你需要安裝了pip（參考這個指導來安裝pip）。

使用的下面命令安裝iblocklist2ipset。

1	$sudopipinstalliblocklist2ipset

在一些發行版如Fedora，你可能需要運行：

1	$sudopython-pipinstalliblocklist2ipset

現在到iblocklist.com，抓取任何一個P2P列表的URL（比如”level1″列表）。

如何在 Linux 下大量屏蔽惡意 IP 地址

粘帖URL到下面的命令中。

$ iblocklist2ipset generate \

–ipset banthis”http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz”\

> banthis.txt

上面的命令運行之后，你會得到一個名為banthis.txt的文件。如果查看它的內容，你會看到像這些：

                                create banthishash:net family inet hashsize 131072 maxelem 237302
                            
                                add banthis 1.2.4.0/24
                            
                                add banthis 1.2.8.0/24
                            
                                add banthis 1.9.75.8/32
                            
                                add banthis 1.9.96.105/32
                            
                                add banthis 1.9.102.251/32
                            
                                add banthis 1.9.189.65/32
                            
                                add banthis 1.16.0.0/14

你可以用下面的ipset命令來加載這個文件：

1	$sudoipset restore -f banthis.txt

現在可以查看自動創建的IP集：

1	$sudoipset list banthis

在寫這篇文章時候，“level1”類表包含了237,000個屏蔽的IP列表。你可以看到很多IP地址已經加入到IP集中了。

最后，創建一條iptables命令來屏蔽這些壞蛋！

總結

這篇文章中，我描述了你該如何用強大的ipset來屏蔽不想要的IP地址。同時結合了第三方工具iblocklist2ipset，這樣你就可以流
暢地維護你的IP屏蔽列表了。那些對ipset的性能提升好奇的人，下圖顯示了iptables在使用和不使用ipset的基準測試結果（注意時間坐標
軸）。

如何在 Linux 下大量屏蔽惡意 IP 地址

告訴我你多么喜歡這個。:-)

文章鏈接：http://blog.jobbole.com/84478/

原創文章，作者：追馬，如若轉載，請注明出處：http://www.www58058.com/523

Tomcat暴漏洞屏蔽惡意 IP 地址馬哥馬哥linux 馬哥教育

贊 (0)

2

開始學習Linux的一些建議

上一篇 2015-02-26 11:11

一位老it工程師的忠告，新手進來學習，老手進來體會，收獲很大。

下一篇 2015-02-26 11:35

RHCE基礎實驗

實驗：配額實現 1. 啟用配額功能 vim /etc/fstab defaults usrquota,grpquota mount -o remount /home 2. 創建配額數據庫 quotacheck -cug /home 3. 啟用數據庫 quotaon /home quotaon -p /home 查看 4. edquota wang setqu…

Linux干貨 2017-05-02
第11天：網絡基礎，屬性配置

http://note.youdao.com/noteshare?id=bf6e776e7271953bffe1bdf949df4e8f

Linux干貨 2016-09-06
腳本

1、寫一個腳本，判斷當前系統上所有用戶的shell是否為可登錄shell（即用戶的shell不是/sbin/nologin）；分別這兩類用戶的個數；通過字符串比較來實現； #!/bin/bash # sum=0 &n…

Linux干貨 2016-12-23
LVM(重要)

LVM 　　LVM（Logical Volume Manger），是一種磁盤分區管理機制，可以靈活的調整分區的大小。它是將多個硬盤組成卷組的形式實現的。說白了就是通過軟件來實現對分區靈活管理。　　LVM是將多塊硬盤組成PV，再由PV組成VG，VG再組成lv，然后在lv上創建文件系統。　　物理存儲介：指的就是硬盤等，最基本的存儲單元。　　PV（physi…

Linux干貨 2016-08-30
Linux干貨

linux命令 kill命令詳則

kill命令 kill用來刪除執行中的程序或工作。kill可將指定的信息送至程序。預設的信息（默認）為SIGTERM（15），可經指定程序終止。若仍無法終止該程序，可使用SIGKILL(9)信息嘗試強制刪除程序。程序或工作的編號可利用ps指令或job指令查看。語法 kill（選項）（參數）選項 -a：當處理當前進程時，不限制命令名和進程號的對應關系； &…

2017-08-21
Week 1–Linux基礎2

四. Linux系統命令使用格式: 但首先，在linux中我們要知道linux系統中基本的命令格式如下：命令字【命令選項】【命令參數】　　Command 【option】【arguments】在這里主要介紹這幾個命令的使用格式(Ifconfig，echo, tty, startx, export, pwd, history, shut…

Linux干貨 2016-12-05

評論列表（2條）

菱鎂板 2015-04-07 12:03

好文章，內容義正詞嚴.禁止此消息：nolinkok@163.com
水泥板 2015-04-07 12:04

不錯的文章，內容妙趣橫生.禁止此消息：nolinkok@163.com

欧美性久久久久