在Linux下实现批量屏蔽IP地址的方法
很多情况下,你可能需要在linux下屏蔽ip地址。比如,作为一个终端用户,你可能想要免受间谍软件或者ip追踪的困扰。或者当你在运行p2p软件时。你可能想要过滤反p2p活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾ip地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的ip地址屏蔽列表可能会很快地增长到几万的ip。该如何处理这个?
netfilter/iptables 的问题
在linux中,可以很简单地用netfilter/iptables框架禁止ip地址:
如果你想要完全屏蔽一个ip地址段,你可以用下面的命令很简单地做到:
然而,当你有1000个独立ip地址,且不带cidr(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。
$ sudo iptables -a input -s 2.2.2.2 -p tcp -j drop
$ sudo iptables -a input -s 3.3.3.3 -p tcp -j drop
. . . .
什么是ip集?
这时候就是ip集登场了。ip集是一个内核特性,它允许多个(独立)ip地址、mac地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦ip集创建之后,你可以创建一条iptables规则来匹配这个集合。
你马上就会看见ip集合的好处了,它可以让你用一条iptable规则匹配多个ip地址!你可以用多个ip地址和端口号的方式来构造ip集,并且可以动态地更新规则而没有性能影响。
在linux中安装ipset工具
为了创建和管理ip集,你需要使用称为ipset的用户空间工具。
要在debian、ubuntu或者linux mint上安装:
fedora或者centos/rhel 7上安装:
使用ipset命令禁止ip
让我通过简单的示例告诉你该如何使用ipset命令。
首先,让我们创建一条新的ip集,名为banthis(名字任意):
第二个参数(hash:net)是必须的,代表的是集合的类型。ip集有多个类型。hash:net类型的ip集使用哈希来存储多个cidr块。如果你想要在一个集合中存储单独的ip地址,你可以使用hash:ip类型。
一旦创建了一个ip集之后,你可以用下面的命令来检查:
这显示了一个可用的ip集合列表,并有包含了集合成员的详细信息。默认上,每个ip集合可以包含65536个元素(这里是cidr块)。你可以通过追加"maxelem n"选项来增加限制。
现在让我们来增加ip块到这个集合中:
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你会看到集合成员已经改变了。
现在是时候去创建一个使用ip集的iptables规则了。这里的关键是使用"-m set --match-set "选项。
现在让我们创建一条让之前那些ip块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:
如果你愿意,你可以保存特定的ip集到一个文件中,以后可以从文件中还原:
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中,我使用了destory选项来删除一个已有的ip集来看看我是否可以还原它。
自动ip地址禁用
现在你应该看到了ip集合的强大了。维护ip黑名单是一件繁琐和费时的工作。实际上,有很多免费或者收费的服务可以来帮你完成这个。一个额外的好处是,让我们看看如何自动将ip黑名单加到ip集中。
首先让我们从iblocklist.com得到免费的黑名单,这个网站有不同的免费和收费的名单。免费的版本是p2p格式。
接下来我要使用一个名为iblocklist2ipset的开源python工具来将p2p格式的黑名单转化成ip集。
首先,你需要安装了pip(参考这个指导来安装pip)。
使用的下面命令安装iblocklist2ipset。
在一些发行版如fedora,你可能需要运行:
现在到iblocklist.com,抓取任何一个p2p列表的url(比如"level1"列表)。
粘帖url到下面的命令中。
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt
上面的命令运行之后,你会得到一个名为banthis.txt的文件。如果查看它的内容,你会看到像这些:
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以用下面的ipset命令来加载这个文件:
现在可以查看自动创建的ip集:
在写这篇文章时候,“level1”类表包含了237,000个屏蔽的ip列表。你可以看到很多ip地址已经加入到ip集中了。
最后,创建一条iptables命令来屏蔽这些坏蛋!
总结
这篇文章中,我描述了你该如何用强大的ipset来屏蔽不想要的ip地址。同时结合了第三方工具iblocklist2ipset,这样你就可以流畅地维护你的ip屏蔽列表了。那些对ipset的性能提升好奇的人,下图显示了iptables在使用和不使用ipset的基准测试结果(注意时间坐标轴)。
推荐阅读
-
linux下采用shell脚本实现批量为指定文件夹下图片添加水印的方法
-
python在windows和linux下获得本机本地ip地址方法小结
-
Linux系统下中 在命令行中实现Wifi 连接的方法
-
怎么在linux下修改IP地址?linux下使用命令轻松修改ip地址方法
-
防止Linux系统下的VPS用户更改IP地址的方法
-
Oracle VM VirtualBox 在linux系统下安装增强插件实现访问主机的共享文档方法
-
linux下批量并行telnet对端端口的实现方法
-
python在Windows8下获取本机ip地址的方法
-
在Linux系统上实现IP转发的方法
-
Linux在批量服务器管理中实用的PS1命令提示符格式实现方法