怎樣在Linux上高效阻止惡意IP地址
怎樣在Linux上高效阻止惡意IP地址
以下關(guān)于Linux教程由學(xué)習(xí)啦小編為您整理提供,歡迎閱讀與借鑒。
你可能想要在各種情形下阻止有人通過IP地址訪問你的Linux系統(tǒng)。比如說,作為最終用戶,你可能想要保護(hù)自己,避免已知的間諜軟件或跟蹤者的IP地址?;蛘呷绻阍谶\行P2P軟件,可能想要把來自與違反P2P的活動有關(guān)的網(wǎng)絡(luò)的連接過濾掉。如果你是名系統(tǒng)管理員,可能想要禁止發(fā)送垃圾郵件的IP地址訪問你的生產(chǎn)環(huán)境郵件服務(wù)器?;蛘吣憧赡芤蚰硞€原因而希望阻止從某些國家訪問網(wǎng)站服務(wù)器。不過在許多情況下,你的IP地址阻止列表可能迅速擴大到成千上萬個IP地址或IP地址區(qū)段。那么你該如何應(yīng)對這種情況?
Netfilter/IPtables的問題
在Linux中,只要借助netfilter/iptables框架,就很容易實現(xiàn)阻止IP地址這一目的:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要禁止某一整個IP地址區(qū)段,也能同樣做到這一點:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
不過,要是你有1000個沒有共同CIDR(無類別域間路由)前綴的獨立IP地址想要禁止訪問,該如何是好?那你就要設(shè)定1000個iptables規(guī)則!很顯然這種方法不具有良好的擴展性。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
何謂IP集?
這時候,IP集(IP set)就能派得上大用場。IP集是一種內(nèi)核功能,允許多個(獨立)IP地址、MAC地址或者甚至多個端口號高效地編碼并存儲在比特圖/散列內(nèi)核數(shù)據(jù)結(jié)構(gòu)里面。一旦創(chuàng)建了IP集,就能創(chuàng)建與該集匹配的iptables規(guī)則。
你應(yīng)該會立馬看到使用IP集帶來的好處,那就是你只要使用一個iptables規(guī)則,就能夠與IP集中的多個IP地址進(jìn)行匹配!你可以結(jié)合使用多個IP地址和端口號來構(gòu)建IP集,還可以用IP集動態(tài)更新iptables規(guī)則,對性能根本沒有任何影響。
將IPset工具安裝到Linux上
想創(chuàng)建并管理IP集,你就需要使用一種名為ipset的用戶空間工具。
想將ipset安裝到Debian、Ubuntu或Linux Mint上:
$ sudo apt-get install ipset
想將ipset安裝到Fedora或CentOS/RHEL 7上:
$ sudo yum install ipset
使用IPset命令禁止IP地址
不妨讓我通過幾個簡單的例子,具體介紹如何使用ipset命令。
首先,不妨創(chuàng)建一個新的IP集,名為banthis(名稱隨意):
$ sudo ipset create banthis hash:net
上述命令中的第二個變量(hash:net)必不可少,它代表了所創(chuàng)建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來存儲多個CIDR區(qū)段。如果你想在該集中存儲單個的IP地址,可以改而使用hash:ip類型。
一旦你創(chuàng)建了一個IP集,就可以使用該命令來檢查該集:
$ sudo ipset list
這顯示了可用IP 集的列表,另外還顯示了每個集的詳細(xì)信息,其中包括集成員。默認(rèn)情況下,每個IP集可以最多含有65536個元素(這里是CIDR區(qū)段)。你只要在后面添加“maxelem N”選項,就可以調(diào)大這個極限值。
$ sudo ipset create banthis hash:net maxelem 1000000
現(xiàn)在不妨將IP地址區(qū)段添加到該集:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會發(fā)現(xiàn),集成員已發(fā)生了變化。
$ sudo ipset list
現(xiàn)在可以使用該IP集來創(chuàng)建一個iptables規(guī)則了。這里的關(guān)鍵在于,使用“-m set --match-set ”這個選項。
不妨創(chuàng)建一個iptables規(guī)則,阻止該集中的所有那些IP地址區(qū)段通過端口80訪問網(wǎng)站服務(wù)器。這可以通過這個命令來實現(xiàn):
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你想,還可以將特定的IP集保存到一個文件中,然后以后可以從該文件來恢復(fù):
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
在上述命令中,我試著使用destroy選項來刪除現(xiàn)有的IP集,看看我能不能恢復(fù)該IP集。
自動禁止IP地址
至此,你應(yīng)該會看到IP集這個概念有多強大。仍然維持一份最新的IP黑名單可能是件麻煩又費時的活兒。實際上,現(xiàn)在外頭有一些免費服務(wù)或收費服務(wù)可以為你維護(hù)這些IP黑名單。另外,不妨看一下我們?nèi)绾慰梢詫⒖捎肐P黑名單自動轉(zhuǎn)換成IP集。
我暫且從免費或收費發(fā)布各種IP阻止列表的iblocklist.com獲取免費的IP列表。提供了P2P格式的免費版本。
我要使用一款名為iblocklist2ipset的開源python工具,這個工具可以將P2P版本的iblocklist轉(zhuǎn)換成IP sets。
首先,你需要安裝好pip(想安裝pip,請參閱這篇指導(dǎo)文章:http://ask.xmodulo.com/install-pip-linux.html)。
然后安裝iblocklist2ipset,具體如下所示。
$ sudo pip install iblocklist2ipset
在Fedora之類的一些發(fā)行版上,你可能需要運行這個命令:
$ sudo python-pip install iblocklist2ipset
現(xiàn)在進(jìn)入到iblocklist.com,獲取任何P2P列表URL(比如“level1”列表)。
然后將該URL粘貼到下面這個命令中:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \> banthis.txt
在你運行上述命令后,你就創(chuàng)建了一個名為bandthis.txt的文件。如果你檢查其內(nèi)容,就會看到類似以下的內(nèi)容:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以使用ipset命令,就能輕松裝入該文件:
$ sudo ipset restore -f banthis.txt
現(xiàn)在,用下面這個命令檢查自動創(chuàng)建的IP集:
$ sudo ipset list banthis
截至本文截稿時,“level1”阻止列表含有237000多個IP地址區(qū)段。你會發(fā)現(xiàn),許多IP地址區(qū)段已經(jīng)被添加到了IP集中。
最后,只需創(chuàng)建一個iptables規(guī)則,就能阻止所有這些地址!
結(jié)束語
我在本教程中演示了如何使用ipset這個功能強大的工具來阻止不受歡迎的IP地址。再結(jié)合iblocklist2ipset之類的第三方工具,你就能輕松簡化維護(hù)IP地址阻止列表的工作。