以下關於Linux教程由學習啦小編為您整理提供,歡迎閱讀與借鑒。
你可能想要在各種情形下阻止有人通過IP地址訪問你的Linux系統。比如說,作為最終用戶,你可能想要保護自己,避免已知的間諜軟件或跟蹤者的IP地址。或者如果你在運行P2P軟件,可能想要把來自與違反P2P的活動有關的網絡的連接過濾掉。如果你是名系統管理員,可能想要禁止發送垃圾郵件的IP地址訪問你的生產環境郵件服務器。或者你可能因某個原因而希望阻止從某些國家訪問網站服務器。不過在許多情況下,你的IP地址阻止列表可能迅速擴大到成千上萬個IP地址或IP地址區段。那麼你該如何應對這種情況?
Netfilter/IPtables的問題
在Linux中,只要借助netfilter/iptables框架,就很容易實現阻止IP地址這一目的:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要禁止某一整個IP地址區段,也能同樣做到這一點:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
不過,要是你有1000個沒有共同CIDR(無類別域間路由)前綴的獨立IP地址想要禁止訪問,該如何是好?那你就要設定1000個iptables規則!很顯然這種方法不具有良好的擴展性。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
何謂IP集?
這時候,IP集(IP set)就能派得上大用場。IP集是一種內核功能,允許多個(獨立)IP地址、MAC地址或者甚至多個端口號高效地編碼並存儲在比特圖/散列內核數據結構裡面。一旦創建了IP集,就能創建與該集匹配的iptables規則。
你應該會立馬看到使用IP集帶來的好處,那就是你只要使用一個iptables規則,就能夠與IP集中的多個IP地址進行匹配!你可以結合使用多個IP地址和端口號來構建IP集,還可以用IP集動態更新iptables規則,對性能根本沒有任何影響。
將IPset工具安裝到Linux上
想創建並管理IP集,你就需要使用一種名為ipset的用戶空間工具。
想將ipset安裝到Debian、Ubuntu或Linux Mint上:
$ sudo apt-get install ipset
想將ipset安裝到Fedora或CentOS/RHEL 7上:
$ sudo yum install ipset
使用IPset命令禁止IP地址
不妨讓我通過幾個簡單的例子,具體介紹如何使用ipset命令。
首先,不妨創建一個新的IP集,名為banthis(名稱隨意):
$ sudo ipset create banthis hash:net
上述命令中的第二個變量(hash:net)必不可少,它代表了所創建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來存儲多個CIDR區段。如果你想在該集中存儲單個的IP地址,可以改而使用hash:ip類型。
一旦你創建了一個IP集,就可以使用該命令來檢查該集:
$ sudo ipset list
這顯示了可用IP 集的列表,另外還顯示了每個集的詳細信息,其中包括集成員。默認情況下,每個IP集可以最多含有65536個元素(這裡是CIDR區段)。你只要在後面添加“maxelem N”選項,就可以調大這個極限值。
$ sudo ipset create banthis hash:net maxelem 1000000
現在不妨將IP地址區段添加到該集:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會發現,集成員已發生了變化。
$ sudo ipset list
現在可以使用該IP集來創建一個iptables規則了。這裡的關鍵在於,使用“-m set --match-set ”這個選項。
不妨創建一個iptables規則,阻止該集中的所有那些IP地址區段通過端口80訪問網站服務器。這可以通過這個命令來實現:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你想,還可以將特定的IP集保存到一個文件中,然後以後可以從該文件來恢復:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
在上述命令中,我試著使用destroy選項來刪除現有的IP集,看看我能不能恢復該IP集。
自動禁止IP地址
至此,你應該會看到IP集這個概念有多強大。仍然維持一份最新的IP黑名單可能是件麻煩又費時的活兒。實際上,現在外頭有一些免費服務或收費服務可以為你維護這些IP黑名單。另外,不妨看一下我們如何可以將可用IP黑名單自動轉換成IP集。
我暫且從免費或收費發布各種IP阻止列表的iblocklist.com獲取免費的IP列表。提供了P2P格式的免費版本。
我要使用一款名為iblocklist2ipset的開源python工具,這個工具可以將P2P版本的iblocklist轉換成IP sets。
首先,你需要安裝好pip(想安裝pip,請參閱這篇指導文章:http://ask.xmodulo.com/install-pip-linux.html)。
然後安裝iblocklist2ipset,具體如下所示。
$ sudo pip install iblocklist2ipset
在Fedora之類的一些發行版上,你可能需要運行這個命令:
$ sudo python-pip install iblocklist2ipset
現在進入到iblocklist.com,獲取任何P2P列表URL(比如“level1”列表)。
然後將該URL粘貼到下面這個命令中:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \> banthis.txt
在你運行上述命令後,你就創建了一個名為bandthis.txt的文件。如果你檢查其內容,就會看到類似以下的內容:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以使用ipset命令,就能輕松裝入該文件:
$ sudo ipset restore -f banthis.txt
現在,用下面這個命令檢查自動創建的IP集:
$ sudo ipset list banthis
截至本文截稿時,“level1”阻止列表含有237000多個IP地址區段。你會發現,許多IP地址區段已經被添加到了IP集中。
最後,只需創建一個iptables規則,就能阻止所有這些地址!
結束語
我在本教程中演示了如何使用ipset這個功能強大的工具來阻止不受歡迎的IP地址。再結合iblocklist2ipset之類的第三方工具,你就能輕松簡化維護IP地址阻止列表的工作。