本文共 3387 字,大约阅读时间需要 11 分钟。
1,下面我先说下iptables的基本配置规则,然后再说ipset
以下使用C7 x86_64为实验环境CentOS7默认的防火墙不是iptables,而是firewalle.如果你没有安装iptables的话,你可以使用以下命令进行安装systemctl stop firewalldsystemctl disable firewalldsystemctl mask firewalld上面的意思是先屏蔽掉原有的firewall防火墙,下面我们就开始安装iptables,至于为什么要安装IPtables我就不讲了yum install iptables iptables-services -y设置规则
#查看iptables现有规则iptables -L -n#先允许所有,不然有可能会杯具iptables -P INPUT ACCEPT#清空所有默认规则iptables -F#清空所有自定义规则iptables -X#所有计数器归0iptables -Z#允许来自于lo接口的数据包(本地访问)iptables -A INPUT -i lo -j ACCEPT#开放22端口iptables -A INPUT -p tcp --dport 22 -j ACCEPT#开放21端口(FTP)iptables -A INPUT -p tcp --dport 21 -j ACCEPT#开放80端口(HTTP)iptables -A INPUT -p tcp --dport 80 -j ACCEPT#开放443端口(HTTPS)iptables -A INPUT -p tcp --dport 443 -j ACCEPT#允许pingiptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT#其他入站一律丢弃iptables -P INPUT DROP#所有出站一律绿灯iptables -P OUTPUT ACCEPT#所有转发一律丢弃iptables -P FORWARD DROP其他规则设定
#如果要添加内网ip信任(接受其所有TCP请求)iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT#过滤所有非以上规则的请求iptables -P INPUT DROP#要封停一个IP,使用下面这条命令:iptables -I INPUT -s ... -j DROP#要解封一个IP,使用下面这条命令:iptables -D INPUT -s ... -j DROP#保存上述规则
service iptables save开启iptables服务#注册iptables服务#相当于以前的chkconfig iptables onsystemctl enable iptables.service#开启服务systemctl start iptables.service#查看状态systemctl status iptables.service2,现在我们介绍ipset
ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:ipset的安装
首先先安装依赖yum provides '*/applydeltarpm'yum install deltarpm -yyum install ipset -y创建一个ipsetipset create xxx hash:net (也可以是hash:ip ,这指的是单个ip,xxx是ipset名称)ipset默认可以存储65536个元素,使用maxelem指定数量ipset create blacklist hash:net maxelem 1000000 #黑名单ipset create whitelist hash:net maxelem 1000000 #白名单查看已创建的ipsetipset list在创建的黑名单中添加一个ipipset add blacklist 192.168.4.175删除黑名单ipipset del blacklist 192.168.4.175创建防火墙规则,与此同时,allset这个IP集里的ip都无法访问80端口(如:CC×××可用)iptables -I INPUT -m set --match-set blacklist src -p tcp -j DROPiptables -I INPUT -m set --match-set whitelist src -p tcp -j DROPiptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROPservice iptables save将ipset规则保存到文件ipset save blacklist -f blacklist.txtipset save whitelist -f whitelist.txt删除ipsetipset destroy blacklistipset destroy whitelist导入ipset规则ipset restore -f blacklist.txtipset restore -f whitelist.txt备注:ipset的一个优势是集合可以动态的修改,即使ipset的iptables规则目前已经启动,新加的入ipset的ip也生效3,应用场景
例:某服务器被CC×××,经过抓包或者一序列手段发现有一批IP是源×××ip,因此我们需要封掉这些IP,如果用iptables一条一条加就麻烦些了。
#对TIME_WAIT的外部ip以及此对ip出现的次数经行求重排序。netstat -ptan | grep TIME_WAIT | awk '{print $5}' | awk -F: '{print $1}' |sort |uniq -c | sort -n -r#tcpdump 抓取100个包,访问本机80的ip进行求重排序 只显示前20个,数量多的ip可能为×××源IP,我们需要封掉它tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20#新建一个setname.txt文件,以如下格式加入这些ip (有多少个ip就多少行)vim setname.txt add setname xxx.xxx.xxx.xxx#导入setname.txt文件到ipset集ipset restore -f setname.txt#查看是否导入成功 (成功的话会发现一个新ipset名为 sername,且Members里就是那些×××IP)ipset list#建立一条iptables规则,拦截这些×××ip访问服务器80,也可以直接禁止这些ip的所有访问iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP转载于:https://blog.51cto.com/13718210/2153464