如何在 Linux 下大量屏蔽恶意 IP 地址

很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软
件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止
某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个?

如何在 Linux 下大量屏蔽恶意 IP 地址

Netfilter/IPtables 的问题

在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址:

1
$sudoiptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到:

1
$sudoiptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。

1
2
3
4
$sudoiptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$sudoiptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$sudoiptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .

什么是IP集?

这时候就是IP集登场了。IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。

你马上就会看见IP集合的好处了,它可以让你用一条iptable规则匹配多个ip地址!你可以用多个IP地址和端口号的方式来构造IP集,并且可以动态地更新规则而没有性能影响。

在Linux中安装IPset工具

为了创建和管理IP集,你需要使用称为ipset的用户空间工具。

要在Debian、Ubuntu或者Linux Mint上安装:

1
$sudoapt-getinstallipset

Fedora或者CentOS/RHEL 7上安装:

1
$sudoyuminstallipset

使用IPset命令禁止IP

让我通过简单的示例告诉你该如何使用ipset命令。

首先,让我们创建一条新的IP集,名为banthis(名字任意):

1
$sudoipset create banthishash:net

第二个参数(hash:net)是必须的,代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。

一旦创建了一个IP集之后,你可以用下面的命令来检查:

1
$sudoipset list

如何在 Linux 下大量屏蔽恶意 IP 地址

这显示了一个可用的IP集合列表,并有包含了集合成员的详细信息。默认上,每个IP集合可以包含65536个元素(这里是CIDR块)。你可以通过追加”maxelem N”选项来增加限制。

1
$sudoipset create banthishash:net maxelem 1000000

现在让我们来增加IP块到这个集合中:

1
2
3
4
$sudoipset add banthis 1.1.1.1/32
$sudoipset add banthis 1.1.2.0/24
$sudoipset add banthis 1.1.3.0/24
$sudoipset add banthis 1.1.4.10/24

你会看到集合成员已经改变了。

1
$sudoipset list

如何在 Linux 下大量屏蔽恶意 IP 地址

现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用”-m set –match-set “选项。

现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:

1
$sudoiptables -I INPUT -mset–match-setbanthis src -p tcp –destination-port 80 -j DROP

如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:

1
2
3
$sudoipset save banthis -f banthis.txt
$sudoipset destroy banthis
$sudoipset restore -f banthis.txt

上面的命令中,我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。

自动IP地址禁用

现在你应该看到了IP集合的强大了。维护IP黑名单是一件繁琐和费时的工作。实际上,有很多免费或者收费的服务可以来帮你完成这个。一个额外的好处是,让我们看看如何自动将IP黑名单加到IP集中。

首先让我们从iblocklist.com得到免费的黑名单,这个网站有不同的免费和收费的名单。免费的版本是P2P格式。

接下来我要使用一个名为iblocklist2ipset的开源Python工具来将P2P格式的黑名单转化成IP集。

首先,你需要安装了pip(参考这个指导来安装pip)。

使用的下面命令安装iblocklist2ipset。

1
$sudopipinstalliblocklist2ipset

在一些发行版如Fedora,你可能需要运行:

1
$sudopython-pipinstalliblocklist2ipset

现在到iblocklist.com,抓取任何一个P2P列表的URL(比如”level1″列表)。

如何在 Linux 下大量屏蔽恶意 IP 地址

粘帖URL到下面的命令中。

1
2
3
$ iblocklist2ipset generate \
–ipset banthis”http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz”\
> banthis.txt

上面的命令运行之后,你会得到一个名为banthis.txt的文件。如果查看它的内容,你会看到像这些:

1
2
3
4
5
6
7
8
create banthishash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14

你可以用下面的ipset命令来加载这个文件:

1
$sudoipset restore -f banthis.txt

现在可以查看自动创建的IP集:

1
$sudoipset list banthis

在写这篇文章时候,“level1”类表包含了237,000个屏蔽的IP列表。你可以看到很多IP地址已经加入到IP集中了。

最后,创建一条iptables命令来屏蔽这些坏蛋!

总结

这篇文章中,我描述了你该如何用强大的ipset来屏蔽不想要的IP地址。同时结合了第三方工具iblocklist2ipset,这样你就可以流
畅地维护你的IP屏蔽列表了。那些对ipset的性能提升好奇的人,下图显示了iptables在使用和不使用ipset的基准测试结果(注意时间坐标
轴)。

如何在 Linux 下大量屏蔽恶意 IP 地址

告诉我你多么喜欢这个。:-)


文章链接:http://blog.jobbole.com/84478/

原创文章,作者:追马,如若转载,请注明出处:http://www.178linux.com/523

(0)
上一篇 2015-02-26 11:11
下一篇 2015-02-26 11:35

相关推荐

  • 以后的运维是linux系统的天下

       搞IT行业差不多10年了,也接触过网络设备的配置,比如防火墙和交换机的管理,也管理过虚拟化平台,比如vmware的虚拟化,还懂一些简单的oracle数据库的安装,存储、光钎交换机的配置等,因为曾经在传统企业做过8年多的网管,当时的企业规模也是比较大,也接触了很多设备,但就是linux接触的不是很多,后来去一家公司做系统集成,也是什么…

    Linux干货 2016-10-19
  • 马哥教育网络班21期+第一周课程练习

    1,描述计算机的组成及其功能。 2.按系列罗列linux的发行版,并描述不同发行版之间的练习与区别。 3.描述linux的哲学思想,并按照自己的理解对其进行解释性描述。 1.       一切皆文件,计算机中所有的文件目录,        包括计算机的硬件设备显示为文件格式。 2…

    Linux干货 2016-07-07
  • N22-第四周作业

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 # cp -r /etc/skel /home/tuser1 # chmod 700 /home/tuser1 2、编辑/etc/group文件,添加组h…

    Linux干货 2016-09-06
  • Linux系统vim文本编辑器

                                                      &nbsp…

    Linux干货 2016-08-15
  • 第三周作业

    1.列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。  2、取出最后登录到当前系统的用户的相关信息。  3、取出当前系统上被用户当作其默认shell的最多的那个shell。  4、将/etc/passwd中的第三个字段数值最大的后10个用户的信息全部改为大写后保存至/tmp/max…

    Linux干货 2016-12-21
  • 磁盘管理1——分区和文件系统的创建

    Linux磁盘及文件系统管理 Disk(硬盘)接口类型:          IDE:并口,133MB/s          SCSI:并口,640MB/s    &nbs…

    Linux干货 2016-08-27

评论列表(2条)

  • 菱镁板
    菱镁板 2015-04-07 12:03

    好文章,内容义正词严.禁止此消息:nolinkok@163.com

  • 水泥板
    水泥板 2015-04-07 12:04

    不错的文章,内容妙趣横生.禁止此消息:nolinkok@163.com