怎么在阿里云屏蔽一些IP?

简介: 在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址: $ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP   如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到: $ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP   然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。
在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
 
如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
 
然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
 
 
什么是IP集? 
 
 
这时候就是IP集登场了。IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。 
你马上就会看见IP集合的好处了,它可以让你用一条iptable规则匹配多个ip地址!你可以用多个IP地址和端口号的方式来构造IP集,并且可以动态地更新规则而没有性能影响。 
 
在Linux中安装IPset工具 
 
 
为了创建和管理IP集,你需要使用称为ipset的用户空间工具。 
要在Debian、Ubuntu或者Linux Mint上安装:
$ sudo apt-get install ipset
 
Fedora或者CentOS/RHEL 7上安装:
$ sudo yum install ipset
 
 
使用IPset命令禁止IP 
 
 
让我通过简单的示例告诉你该如何使用ipset命令。 
首先,让我们创建一条新的IP集,名为banthis(名字任意):
$ sudo ipset create banthis hash:net
 
第二个参数(hash:net)是必须的,代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。 
一旦创建了一个IP集之后,你可以用下面的命令来检查:
$ sudo ipset list
 
现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。 
现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
 
如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
 
上面的命令中,我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。 
版权声明:本文由 数控等离子切割机 http://www.hycsk.com  整理编辑!本文章来源于网络,如有侵权,请联系云栖社区,欢迎分享本文,转载请保留出处!
相关文章
|
6月前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
7月前
|
监控 网络协议 安全
【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
1416 1
|
网络协议 网络安全
如何屏蔽防火墙UDP服务支持
如何屏蔽防火墙UDP服务支持
142 0
|
网络安全
【防火墙】nat链、规则保存、数据抓包
文章目录 前言 一、定义 二、nat 2.1 SNAT
147 0
【防火墙】nat链、规则保存、数据抓包
|
Apache
如何屏蔽某IP地址访问网站
最近发现网站恶意攻击频率较高,登录服务器管理后台,发现某些IP持续性地恶意访问我的站点,而且都是一些不存在的页面或文件。很显然这些访问请求不正常,所以就研究了下如何屏蔽掉某IP或IP段访问站点。
1839 0
被阿里云绿网屏蔽页面解封方法
阿里绿网是阿里云针对旗下云服务器推出的一款检测违规信息的产品 绿网会针对阿里云服务器上的网站进行自动扫描检测,并对违规页面自动屏蔽 但有时这种屏蔽并不准确,在移除违规信息后,我们可以申请人工解封
4488 0

热门文章

最新文章