在Linux下實(shí)現(xiàn)批量屏蔽IP地址的方法

　　你還在為不知道在Linux下實(shí)現(xiàn)批量屏蔽IP地址而不知所措么?下面來是學(xué)習(xí)啦小編為大家收集的在Linux下實(shí)現(xiàn)批量屏蔽IP地址的方法，歡迎大家閱讀：

　　在Linux下實(shí)現(xiàn)批量屏蔽IP地址的方法

　　Netfilter/IPtables 的問題

　　在Linux中，可以很簡(jiǎn)單地用netfilter/iptables框架禁止IP地址：

　　代碼如下:

　　$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

　　如果你想要完全屏蔽一個(gè)IP地址段，你可以用下面的命令很簡(jiǎn)單地做到：

　　代碼如下:

　　$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

　　然而，當(dāng)你有1000個(gè)獨(dú)立IP地址，且不帶CIDR(無類別域間路由)前綴，你該怎么做?你要有1000條iptable規(guī)則!這顯然這并不適于大規(guī)模屏蔽。

　　代碼如下:

　　$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

　　$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

　　$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

　　. . . .

　　什么是IP集?

　　這時(shí)候就是IP集登場(chǎng)了。IP集是一個(gè)內(nèi)核特性，它允許多個(gè)(獨(dú)立)IP地址、MAC地址或者甚至是端口號(hào)被編碼和有效地存儲(chǔ)在位圖/哈希內(nèi)核數(shù)據(jù)結(jié)構(gòu)中。一旦IP集創(chuàng)建之后，你可以創(chuàng)建一條iptables規(guī)則來匹配這個(gè)集合。

　　你馬上就會(huì)看見IP集合的好處了，它可以讓你用一條iptable規(guī)則匹配多個(gè)ip地址!你可以用多個(gè)IP地址和端口號(hào)的方式來構(gòu)造IP集，并且可以動(dòng)態(tài)地更新規(guī)則而沒有性能影響。

　　在Linux中安裝IPset工具

　　為了創(chuàng)建和管理IP集，你需要使用稱為ipset的用戶空間工具。

　　要在Debian、Ubuntu或者Linux Mint上安裝：

　　代碼如下:

　　$ sudo apt-get install ipset

　　Fedora或者CentOS/RHEL 7上安裝：

　　代碼如下:

　　$ sudo yum install ipset

　　使用IPset命令禁止IP

　　讓我通過簡(jiǎn)單的示例告訴你該如何使用ipset命令。

　　首先，讓我們創(chuàng)建一條新的IP集，名為banthis(名字任意)：

　　代碼如下:

　　$ sudo ipset create banthis hash:net

　　第二個(gè)參數(shù)(hash:net)是必須的，代表的是集合的類型。IP集有多個(gè)類型。hash:net類型的IP集使用哈希來存儲(chǔ)多個(gè)CIDR塊。如果你想要在一個(gè)集合中存儲(chǔ)單獨(dú)的IP地址，你可以使用hash:ip類型。

　　一旦創(chuàng)建了一個(gè)IP集之后，你可以用下面的命令來檢查：

　　代碼如下:

　　$ sudo ipset list

　　這顯示了一個(gè)可用的IP集合列表，并有包含了集合成員的詳細(xì)信息。默認(rèn)上，每個(gè)IP集合可以包含65536個(gè)元素(這里是CIDR塊)。你可以通過追加"maxelem N"選項(xiàng)來增加限制。

　　代碼如下:

　　$ sudo ipset create banthis hash:net maxelem 1000000

　　現(xiàn)在讓我們來增加IP塊到這個(gè)集合中：

　　代碼如下:

　　$ sudo ipset add banthis 1.1.1.1/32

　　$ sudo ipset add banthis 1.1.2.0/24

　　$ sudo ipset add banthis 1.1.3.0/24

　　$ sudo ipset add banthis 1.1.4.10/24

　　你會(huì)看到集合成員已經(jīng)改變了。

　　代碼如下:

　　$ sudo ipset list

　　現(xiàn)在是時(shí)候去創(chuàng)建一個(gè)使用IP集的iptables規(guī)則了。這里的關(guān)鍵是使用"-m set --match-set "選項(xiàng)。

　　現(xiàn)在讓我們創(chuàng)建一條讓之前那些IP塊不能通過80端口訪問web服務(wù)的iptable規(guī)則?？梢酝ㄟ^下面的命令：

　　代碼如下:

　　$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

　　如果你愿意，你可以保存特定的IP集到一個(gè)文件中，以后可以從文件中還原：

　　代碼如下:

　　$ sudo ipset save banthis -f banthis.txt

　　$ sudo ipset destroy banthis

　　$ sudo ipset restore -f banthis.txt

　　上面的命令中，我使用了destory選項(xiàng)來刪除一個(gè)已有的IP集來看看我是否可以還原它。

　　自動(dòng)IP地址禁用

　　現(xiàn)在你應(yīng)該看到了IP集合的強(qiáng)大了。維護(hù)IP黑名單是一件繁瑣和費(fèi)時(shí)的工作。實(shí)際上，有很多免費(fèi)或者收費(fèi)的服務(wù)可以來幫你完成這個(gè)。一個(gè)額外的好處是，讓我們看看如何自動(dòng)將IP黑名單加到IP集中。

　　首先讓我們從iblocklist.com得到免費(fèi)的黑名單，這個(gè)網(wǎng)站有不同的免費(fèi)和收費(fèi)的名單。免費(fèi)的版本是P2P格式。

　　接下來我要使用一個(gè)名為iblocklist2ipset的開源Python工具來將P2P格式的黑名單轉(zhuǎn)化成IP集。

　　首先，你需要安裝了pip(參考這個(gè)指導(dǎo)來安裝pip)。

　　使用的下面命令安裝iblocklist2ipset。

　　代碼如下:

　　$ sudo pip install iblocklist2ipset

　　在一些發(fā)行版如Fedora，你可能需要運(yùn)行：

　　代碼如下:

　　$ sudo python-pip install iblocklist2ipset

　　現(xiàn)在到iblocklist.com，抓取任何一個(gè)P2P列表的URL(比如"level1"列表)。

　　粘帖URL到下面的命令中。

　　代碼如下:

　　$ iblocklist2ipset generate

　　--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz"

　　> banthis.txt

　　上面的命令運(yùn)行之后，你會(huì)得到一個(gè)名為banthis.txt的文件。如果查看它的內(nèi)容，你會(huì)看到像這些：

　　代碼如下:

　　create banthis hash:net family inet hashsize 131072 maxelem 237302

　　add banthis 1.2.4.0/24

　　add banthis 1.2.8.0/24

　　add banthis 1.9.75.8/32

　　add banthis 1.9.96.105/32

　　add banthis 1.9.102.251/32

　　add banthis 1.9.189.65/32

　　add banthis 1.16.0.0/14

　　你可以用下面的ipset命令來加載這個(gè)文件：

　　代碼如下:

　　$ sudo ipset restore -f banthis.txt

　　現(xiàn)在可以查看自動(dòng)創(chuàng)建的IP集：

　　代碼如下:

　　$ sudo ipset list banthis

　　在寫這篇文章時(shí)候，“level1”類表包含了237,000個(gè)屏蔽的IP列表。你可以看到很多IP地址已經(jīng)加入到IP集中了。

　　最后，創(chuàng)建一條iptables命令來屏蔽這些壞蛋!

　　總結(jié)

　　這篇文章中，我描述了你該如何用強(qiáng)大的ipset來屏蔽不想要的IP地址。同時(shí)結(jié)合了第三方工具iblocklist2ipset，這樣你就可以流暢地維護(hù)你的IP屏蔽列表了。那些對(duì)ipset的性能提升好奇的人，下圖顯示了iptables在使用和不使用ipset的基準(zhǔn)測(cè)試結(jié)果(注意時(shí)間坐標(biāo)軸)。

看了“在Linux下實(shí)現(xiàn)批量屏蔽IP地址的方法”還想看：

1.怎樣在Linux上高效阻止惡意IP地址

2.linux防火墻如何阻止ip訪問

3.linux下怎么修改IP地址

4.如何在Linux系統(tǒng)中設(shè)置靜態(tài)ip地