ipset和iptables配合来自动封闭和解封有问题的IP_51CTO博客_ipset iptables
ipset和iptables配合来自动封闭和解封有问题的IP
关注
yangzi1231
ipset和iptables配合来自动封闭和解封有问题的IP
精选 原创
yangzi1231
2016-12-02 14:45:21
博主文章分类：Linux运维
©著作权
文章标签
iptables
ipset
自动封禁
文章分类
其它
系统/运维
©著作权归作者所有：来自51CTO博客作者yangzi1231的原创作品，请联系作者获取转载授权，否则将追究法律责任
iptables封掉少量ip处理是没什么问题的，但是当有大量ip攻击的时候性能就跟不上了,iptables是O(N)的性能。而ipset就像一个集合，把需要封闭的ip地址放入这个集合中，ipset 是O(1)的性能，用的hash方式所以特别快。一、软件及安装 1、iptables（一般linux都已经安装好的） 2、ipset： ubuntu：apt-get install ipset二、ipset的使用 1、查看ip集的列表信息 ipset list 2、创建ip集 ipset create XXXX hash:ip maxelem 100000 timeout 3600 XXXX:ip集的名字 hash:ip ：为指定类型，还有其他好些类型，比如hash:net,hash:net,net等，具体可以man ipset 100000：为最大保存ip的数量 timeout: 为封闭ip的默认时间，这个参数可以不写，这样就永不解封，除非手动解封 3、增加ip地址到ip集 ipset add xxxx 1.1.1.1 增加网段 ipset add xxxx 1.1.1.0/24 4、删除指定的ip或网段 ipset del xxxx 1.1.1.1
ipset del xxxx 1.1.1.0/24 5、保存ip集到文件 ipset save xxxx>ipset_list.txt 6、还原ip集 ipset restore <ipset_list.txt三、自动封禁和解封 1、创建ip集 ipset create forbidip hash:ip timeout 172800 2、创建iptables条目 iptables -A INPUT -p tcp -m set --match-set forbidip src -m multiport --dports 443,80 -j DROP或者 iptables -A INPUT -p tcp -m set --match-set forbidip src -m multiport -j DROP 3、根据条件判断需要封闭的ip 条件：在上一分钟的nginx的请求中，单一ip请求数超过1000及request_uri中包含passwd字符串的ip都直接封禁，1小时后自动解禁。脚本如下#!/bin/bash
FILES="/data/nginx_log/xxxxx/access.log"
DATE=`date -d '1 minutes ago' +%Y:%H:%M`
grep ${DATE} ${FILES}|awk -F'|' '{print $3}'|sort -n|uniq -c |sort -nr|head -1>/tmp/ips
grep ${DATE} ${FILES}|grep -i passwd|awk -F'|' '{print $3}'|sort -n|uniq>/tmp/ippwd
NUM=`awk '{print $1}' /tmp/ips`
IP=`awk '{print $2}' /tmp/ips`
IP2=`cat /tmp/ippwd`
threshold=1000
if [[ $NUM -gt $threshold ]];then
/sbin/ipset -! add forbidip $IP timeout 3600
fi
if [ -s /tmp/ippwd ];then
for i in $IP2
do
/sbin/ipset -! add forbidip $i
done
fi4、脚本自动运行在crontab中添加此脚本的自动运行*/1 * * * * bash /path/to/script.sh
收藏
评论
分享
举报
上一篇：awstats的安装和配置
下一篇：用goaccess每天自动分析nginx日志
提问和评论都可以，用心的回复会被更多人看到
评论
发布评论
全部评论
()
最热
最新
相关文章
dnsmasq, ipset和iptables配置
说明 把出园的流量和园内的流量分开，只有需要出园的流量才经过v2r。 运行机制： 设置一组园外域名 设置dnsmasq将园外域名解析后的ip地址自动加入指定ipset v2r开启dokodemo端口 iptables将匹配指定ipset的包转发给v2r的dokodemo端口 需要用dnsmasq-f
ide
配置文件
json
5e
.net
网站维护：利用iptables和ipset屏蔽恶意IP的访问
https://cuijiahua.com/blog/2018/11/website-22.html
html
基于ipset对大量IP进行封禁(Iptables)
iptables可以有效的对特定的IP进行封禁，但若需要处理大量ip时，需要添加同等数量的规则，这会导致性能严重下降，并且管理也不够方便和优雅 ipset则很好的解决了这个问题。ipset是iptables的扩展，它允许你创建和匹配整个地址集合的规则。在iptables规则中仅一条规则，就可以匹配到 ...
centos
github
ubuntu
内网
集合类型
ipset批量配置iptables
简介： ipset是iptables的扩展,允许你创建匹配整个地址sets（地址集合)的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种集合比较大也可以进行高效的查找。在许多的linux发布中ipset是一个简单的安装包，可以通过linux发行版提供的y
表名
源地址
linux
目的地址
st表
iptables-ipset模块
利用 ipset 封禁大量 IP：创建集合、添加iptables 规则、向集合中添加记录、删除 、存储类型、解封、hash的自增、其他常用命令
ipset
模块
iptables禁IP与解封IP常用命令
iptables禁IP与解封IP常用命令
iptables禁IP与解封IP常用命令
封装和解封装
一：数据封装1.封装与解封装封装：是从应用层-传输层-网络层-链路层-物理层（从上到下的过程）数据应用层数据传输层应用层数据---添加源端口和目标端口网络层传输层应用层数据---添加源IP和DIP链路层网络层传输层应用层数据---添加源MAC和DMAC通过比特流进行传输每层数据解析：应用层（APP报头）--数据传输层（TCP&UPD报头+端口）--数据段网络层（原IP地址和目标端口）---
数据的封装和解封装
iptables之ipset使用介绍
iptables之ipset使用介绍
iptables之ipset使用介绍
用 iptables 屏蔽来自某个国家的 IP
方法一：方法很容易，先到 IPdeny 下载以国家代码编制好的 IP 地址列表，比如下载 cn.zone：# wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone 有了国家的所有 IP 地址，要想屏蔽这些 IP 就很容易了，直接写个脚本逐行读取 cn.zone 文件并加入到
iptables
屏蔽国家IP
OSI数据封装和解封
数据封装当主机跨越网络向其他设备传输数据时，就要进行数据封装，在OSI参考模型中，当一台主机需要传送用户的数据（DATA）时，数据首先通过应用层的接口进入应用层。在应用层，用户的数据被加上应用层的报头（Application Header，AH），形成应用层协议数据单元（Protocol Data Unit，PDU），在模型中的每一层，这些含有控制信息的PDU被附加到数据上。他们通常被附加到数据字
网络
管理
iptables黑白名单-ipset
简介：IP sets are a framework inside the Linux kernel, which can be administered by the ipset utility. Depending on the type, an IP set may store IP addresses, networks, (TCP/UDP) port numbe...
白名单
ipset
iptables
iptables一次性封多个ip，使用ipset 工具
ipset是什么？ ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找，除了一些常用的情况,比如阻止一些危险主机访问本机，从而减少系统资源占用或网络拥塞
官网
重排序
服务器
txt文件
存到文件
Linux禁止IP、解封IP的方法
iptables -A INPUT -s 222.89.227.30/32 -j ACCEPT 加入规则表iptables -A INPUT -s 116.255.169.12 -j DROP 删除规则表在Linux服务器被攻击的时候，有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话，会大大减轻服务器的压力，说不定服务器就能恢复正常了。在Linux下封停IP，有封杀网段和
linux
防火墙
IP地址
案例四、自动封IP和解IP
在运维里，出现最普遍的问题就是网站访问慢甚至访问不到，到服务器上查看得出的结论是，这个网站被CC攻击了。CC攻击属于DDos攻击的一种，**者会利用大量“肉鸡”对攻击目标的网站发起请求，并且频率很快，这样会导致目标网站的服务器承受不住而瘫痪。
awk
sort、uniq
iptables
函数
sed
4. 自动封IP和解IP
对于web服务器来说，出现最普遍的问题就是网站访问慢甚至访问不到，到服务器上查看后得出的结论是，这个网站被CC攻击了。什么是CC攻击？CC攻击属于DDos攻击的一种，攻击者会利用大量被劫持的“肉鸡”对攻击目标网站发起请求，并且频率很快，这样会导致目标网站的服务器承受不住请求压力而瘫痪。
封IP
解IP
利用 ipset 封禁大量 IP
使用 iptables 封 IP，是一种比较简单的应对网络攻击的方式，也算是比较常见。有时候可能会封禁成千上万个 IP，如果添加成千上万条规则，在一台注重性能的服务器或者本身性能就很差的设备上，这就是个问题了。ipset 就是为了避免这个问题而生的。关于 iptables，要知道这两点。iptables 包含几个表，每个表由链组成。默认的是 filter 表，最常用的也是 filter 表，另一个
利用 ipset 封禁大量 IP
Linux防火墙：iptables禁IP与解封IP常用命令
在Linux下，使用ipteables来维护IP规则表。要封停或者是解封IP，其实就是在IP规则表中对入站部分的规则进行添加操作。要封停一个IP，使用下面这条命令：iptables -I INPUT -s ***.***.***.*** -j DROP要解封一个IP，使用下面这条命令：iptables -D INPUT
Linux
防火墙
iptables
iptables示例：限制来自某一IP的并发访问
下面模拟一个iptables的应用场景场景描述有两台机器 A 和 BA 上运行WEB服务，B 向 A 发送大量请求A 想限制 B 的并发数量，通过 iptables 配置实现：当 B 发送的并发数大于10时，拒绝对其提供服务模拟过程A 的 IP：192.168.31.158B 的 IP：192.168.31.207B 上执行 ab 命令，模拟大量请求ab -n 10000 -c 20 http:/
java
Linux下使用 ipset 封大量IP及ipset参数说明
Linux使用iptables封IP，是常用的应对网络攻击的方法，但要封禁成千上万个IP，如果添加成千上万条规则，对
2d
端口号
标准输出
yangzi1231
关注
私信
分类列表
# Linux运维11篇
# shell1篇
# 基础命令1篇
# docker2篇
近期文章
1.Day10_11_消息队列之保证RabbitMQ全链路数据完全不丢失
2.Spring Boot with Docker
3.SpringBoot2.x系列教程56--SpringBoot中的缓存实现方案介绍
4.Day10_07_RabbitMQ消息队列与Redis队列的对比
5.对Integer进行等值比较时踩到的一个坑
签到领勋章
返回顶部
举报文章
请选择举报类型
内容侵权
涉嫌营销
内容抄袭
违法信息
其他
具体原因
包含不真实信息
涉及个人隐私
原文链接（必填）
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG，图片不超过1.9M
取消
确认
已经收到您得举报信息，我们会尽快审核
收藏
评论
分享
51CTO首页
内容精选
博客
学堂
精培
企业培训
CTO训练营
开源基础软件社区
LeaTech全球CTO领导力峰会
移动端
公众号矩阵
博客
免费课程
课程排行
直播课
软考学堂
精品班
厂商认证
IT技术
2022年软考
PMP项目管理
在线学习
企业服务
CTO训练营
技术经理研习营
LeaTech峰会
文章
资源
问答
开源课堂
专栏
直播
51CTO博客
首页
关注
排行榜
订阅专栏
学堂
精培
开源社区
CTO训练营
51CTO
班级博客
登录注册
手机随时阅读
写文章
搜索历史
清空
热门搜索
查看【
】的结果
Copyright 2005-2022 51CTO.COM
版权所有 京ICP证060544号
关于我们
官方博客
意见反馈
了解我们
全部文章
在线客服
网站地图
热门标签
友情链接
开源基础软件社区
51CTO学堂
51CTO
汽车开发者社区