最近,一个朋友的服务器不断被别人攻击,有很多IP。 很明显,使用iptables逐一屏蔽是不现实的。 没办法,只能使用ipset批量阻止IP。 接下来吾爱编程介绍ipset的相关使用方法。 如果有需要的伙伴,请参考:
1、介绍:
ipset是iptables的扩展,允许您创建与整个地址集合相匹配的规则。 不像普通的iptables链那样只匹配单个IP,
ip集存储在带索引的数据结构中。 该结构即时集合大,可以有效搜索。 IPsets还提供了多种新的防火墙设计方法,通过防止危险主机本地访问,减少系统资源消耗和网络拥塞等常见情况,从而简化了配置
2、安装: yuminstallipset
3、创建默认可存储65536个元素的ipsetipset,并使用maxelem指定数量
ipsetcreateblacklisthash : net hashsize 4096 max elem 1000000 #黑名单
ipsetcreatewhitelisthash : net hashsize 4096 max elem 1000000 #白名单
ipsetcreateblacklisthash : IP hashsize 4096 max elem 1000000 #黑名单
ipsetcreatewhitelisthash : IP hashsize 4096 max elem 1000000 #白名单
PS:hash:net指定可以将IP段或IP地址添加到集合中,hash:ip指定可以将IP地址添加到集合中。
4、在ipSet中添加、删除ipipsetaddblacklist 10.10.10.xx//
ipsetdelblacklist10.10.10.xx//删除IP
5、制定防火墙规则,在iptables中添加记录。 - a input-mset-- match-setblacklistsrc-j drop
6、将ipset规则保存到文件ipsetsaveblacklist-fblacklist.txt
ipsetsavewhitelist-fwhitelist.txt
7、删除ipsetipsetdestroyblacklist
ipsetdestroywhitelist
8、ipset规则引入ipsetrestore-fblacklist.txt
ipsetrestore-fwhitelist.txt
以上就是吾爱编程向大家介绍的在Linux上使用ipset封装大量IP的方法。 详情请关注吾爱编程网络。