linux安装ipset封装ip
2019-11-25
173
最近,一个朋友的服务器持续被别人攻击,有很多IP。 很明显,使用iptables逐一屏蔽是不现实的。 没办法,只能利用ipset批量阻止IP。 接下来介绍有关ipset的使用方法。 如果有需要的伙伴,请参考:
1、介绍:
ipset是iptables的扩展,允许您创建与整个地址集合相匹配的规则。 IP集合存储在有索引的数据结构中,而不是像常规iptables链那样仅匹配单个IP。 该结构即时集合比较大,可以有效搜索。 IPsets有几种新的防火墙设计方法,并且简化了配置,例如,除了防止危险主机本地访问以减少系统资源占用和网络拥塞之外
2、安装: yuminstallipset
3、制作ipset
默认情况下,ipset可以包含65536个元素,并使用maxelem指定数量
ipsetcreateblacklisthash : netmaxelem 1000000 #黑名单
ipsetcreatewhitelisthash : netmaxelem 100000 #白名单
//制作1条
ipsetcreateblacklisthash : IP hashsize 4096 max elem 1000000
4、用ipSet添加、删除IP
添加ipsetaddblacklist 10.10.10.xx//IP
ipsetdelblacklist10.10.10.xx//删除IP
5、制定防火墙规则,在iptables中添加记录。 - a input-mset-- match-setblacklistsrc-j drop
6、将ipset规则保存到文件中
ipsetsaveblacklist-fblacklist.txt
ipsetsavewhitelist-fwhitelist.txt
7、删除ipset
ipsetdestroyblacklist
ipsetdestroywhitelist
8、ipset规则引入ipsetrestore-fblacklist.txt
ipsetrestore-fwhitelist.txt
共享到: