學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 操作系統(tǒng) > Linux教程 > 怎樣在Linux上高效阻止惡意IP地址

怎樣在Linux上高效阻止惡意IP地址

時(shí)間: 若木635 分享

怎樣在Linux上高效阻止惡意IP地址

  以下關(guān)于Linux教程由學(xué)習(xí)啦小編為您整理提供,歡迎閱讀與借鑒。

  你可能想要在各種情形下阻止有人通過(guò)IP地址訪問(wèn)你的Linux系統(tǒng)。比如說(shuō),作為最終用戶,你可能想要保護(hù)自己,避免已知的間諜軟件或跟蹤者的IP地址?;蛘呷绻阍谶\(yùn)行P2P軟件,可能想要把來(lái)自與違反P2P的活動(dòng)有關(guān)的網(wǎng)絡(luò)的連接過(guò)濾掉。如果你是名系統(tǒng)管理員,可能想要禁止發(fā)送垃圾郵件的IP地址訪問(wèn)你的生產(chǎn)環(huán)境郵件服務(wù)器?;蛘吣憧赡芤蚰硞€(gè)原因而希望阻止從某些國(guó)家訪問(wèn)網(wǎng)站服務(wù)器。不過(guò)在許多情況下,你的IP地址阻止列表可能迅速擴(kuò)大到成千上萬(wàn)個(gè)IP地址或IP地址區(qū)段。那么你該如何應(yīng)對(duì)這種情況?

  Netfilter/IPtables的問(wèn)題

  在Linux中,只要借助netfilter/iptables框架,就很容易實(shí)現(xiàn)阻止IP地址這一目的:

  $ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

  如果你想要禁止某一整個(gè)IP地址區(qū)段,也能同樣做到這一點(diǎn):

  $ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

  不過(guò),要是你有1000個(gè)沒(méi)有共同CIDR(無(wú)類別域間路由)前綴的獨(dú)立IP地址想要禁止訪問(wèn),該如何是好?那你就要設(shè)定1000個(gè)iptables規(guī)則!很顯然這種方法不具有良好的擴(kuò)展性。

  $ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

  $ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

  $ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

  . . . .

  何謂IP集?

  這時(shí)候,IP集(IP set)就能派得上大用場(chǎng)。IP集是一種內(nèi)核功能,允許多個(gè)(獨(dú)立)IP地址、MAC地址或者甚至多個(gè)端口號(hào)高效地編碼并存儲(chǔ)在比特圖/散列內(nèi)核數(shù)據(jù)結(jié)構(gòu)里面。一旦創(chuàng)建了IP集,就能創(chuàng)建與該集匹配的iptables規(guī)則。

  你應(yīng)該會(huì)立馬看到使用IP集帶來(lái)的好處,那就是你只要使用一個(gè)iptables規(guī)則,就能夠與IP集中的多個(gè)IP地址進(jìn)行匹配!你可以結(jié)合使用多個(gè)IP地址和端口號(hào)來(lái)構(gòu)建IP集,還可以用IP集動(dòng)態(tài)更新iptables規(guī)則,對(duì)性能根本沒(méi)有任何影響。

  將IPset工具安裝到Linux上

  想創(chuàng)建并管理IP集,你就需要使用一種名為ipset的用戶空間工具。

  想將ipset安裝到Debian、Ubuntu或Linux Mint上:

  $ sudo apt-get install ipset

  想將ipset安裝到Fedora或CentOS/RHEL 7上:

  $ sudo yum install ipset

  使用IPset命令禁止IP地址

  不妨讓我通過(guò)幾個(gè)簡(jiǎn)單的例子,具體介紹如何使用ipset命令。

  首先,不妨創(chuàng)建一個(gè)新的IP集,名為banthis(名稱隨意):

  $ sudo ipset create banthis hash:net

  上述命令中的第二個(gè)變量(hash:net)必不可少,它代表了所創(chuàng)建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來(lái)存儲(chǔ)多個(gè)CIDR區(qū)段。如果你想在該集中存儲(chǔ)單個(gè)的IP地址,可以改而使用hash:ip類型。

  一旦你創(chuàng)建了一個(gè)IP集,就可以使用該命令來(lái)檢查該集:

  $ sudo ipset list

  這顯示了可用IP 集的列表,另外還顯示了每個(gè)集的詳細(xì)信息,其中包括集成員。默認(rèn)情況下,每個(gè)IP集可以最多含有65536個(gè)元素(這里是CIDR區(qū)段)。你只要在后面添加“maxelem N”選項(xiàng),就可以調(diào)大這個(gè)極限值。

  $ sudo ipset create banthis hash:net maxelem 1000000

  現(xiàn)在不妨將IP地址區(qū)段添加到該集:

  $ sudo ipset add banthis 1.1.1.1/32

  $ sudo ipset add banthis 1.1.2.0/24

  $ sudo ipset add banthis 1.1.3.0/24

  $ sudo ipset add banthis 1.1.4.10/24

  你會(huì)發(fā)現(xiàn),集成員已發(fā)生了變化。

  $ sudo ipset list

  現(xiàn)在可以使用該IP集來(lái)創(chuàng)建一個(gè)iptables規(guī)則了。這里的關(guān)鍵在于,使用“-m set --match-set ”這個(gè)選項(xiàng)。

  不妨創(chuàng)建一個(gè)iptables規(guī)則,阻止該集中的所有那些IP地址區(qū)段通過(guò)端口80訪問(wèn)網(wǎng)站服務(wù)器。這可以通過(guò)這個(gè)命令來(lái)實(shí)現(xiàn):

  $ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

  如果你想,還可以將特定的IP集保存到一個(gè)文件中,然后以后可以從該文件來(lái)恢復(fù):

  $ sudo ipset save banthis -f banthis.txt

  $ sudo ipset destroy banthis

  $ sudo ipset restore -f banthis.txt

  在上述命令中,我試著使用destroy選項(xiàng)來(lái)刪除現(xiàn)有的IP集,看看我能不能恢復(fù)該IP集。

  自動(dòng)禁止IP地址

  至此,你應(yīng)該會(huì)看到IP集這個(gè)概念有多強(qiáng)大。仍然維持一份最新的IP黑名單可能是件麻煩又費(fèi)時(shí)的活兒。實(shí)際上,現(xiàn)在外頭有一些免費(fèi)服務(wù)或收費(fèi)服務(wù)可以為你維護(hù)這些IP黑名單。另外,不妨看一下我們?nèi)绾慰梢詫⒖捎肐P黑名單自動(dòng)轉(zhuǎn)換成IP集。

  我暫且從免費(fèi)或收費(fèi)發(fā)布各種IP阻止列表的iblocklist.com獲取免費(fèi)的IP列表。提供了P2P格式的免費(fèi)版本。

  我要使用一款名為iblocklist2ipset的開(kāi)源python工具,這個(gè)工具可以將P2P版本的iblocklist轉(zhuǎn)換成IP sets。

  首先,你需要安裝好pip(想安裝pip,請(qǐng)參閱這篇指導(dǎo)文章:http://ask.xmodulo.com/install-pip-linux.html)。

  然后安裝iblocklist2ipset,具體如下所示。

  $ sudo pip install iblocklist2ipset

  在Fedora之類的一些發(fā)行版上,你可能需要運(yùn)行這個(gè)命令:

  $ sudo python-pip install iblocklist2ipset

  現(xiàn)在進(jìn)入到iblocklist.com,獲取任何P2P列表URL(比如“level1”列表)。

  然后將該URL粘貼到下面這個(gè)命令中:

  $ iblocklist2ipset generate \

  --ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \> banthis.txt

  在你運(yùn)行上述命令后,你就創(chuàng)建了一個(gè)名為bandthis.txt的文件。如果你檢查其內(nèi)容,就會(huì)看到類似以下的內(nèi)容:

  create banthis hash:net family inet hashsize 131072 maxelem 237302

  add banthis 1.2.4.0/24

  add banthis 1.2.8.0/24

  add banthis 1.9.75.8/32

  add banthis 1.9.96.105/32

  add banthis 1.9.102.251/32

  add banthis 1.9.189.65/32

  add banthis 1.16.0.0/14

  你可以使用ipset命令,就能輕松裝入該文件:

  $ sudo ipset restore -f banthis.txt

  現(xiàn)在,用下面這個(gè)命令檢查自動(dòng)創(chuàng)建的IP集:

  $ sudo ipset list banthis

  截至本文截稿時(shí),“level1”阻止列表含有237000多個(gè)IP地址區(qū)段。你會(huì)發(fā)現(xiàn),許多IP地址區(qū)段已經(jīng)被添加到了IP集中。

  最后,只需創(chuàng)建一個(gè)iptables規(guī)則,就能阻止所有這些地址!

  結(jié)束語(yǔ)

  我在本教程中演示了如何使用ipset這個(gè)功能強(qiáng)大的工具來(lái)阻止不受歡迎的IP地址。再結(jié)合iblocklist2ipset之類的第三方工具,你就能輕松簡(jiǎn)化維護(hù)IP地址阻止列表的工作。

熱門文章

94923