Über iptables Ban Foreign IP-Methode

0. Hintergrundbeschreibung

Die von Einzelpersonen gekauften Tencent Cloud- oder Alibaba Cloud-Maschinen stellen einige Anwendungsdienste bereit, und „Hacker“ können böswillig angreifen, wobei einige inländische IPs verwenden und andere ausländische IPs simulieren.
Dieser Artikel konzentriert sich hauptsächlich auf die Methode zum Verbot ausländischer IP.

1. Installieren Sie abhängige Pakete

yum -y install iptables
yum -y install ipset

2. Sammlung hinzufügen

ipset create china hash:net maxelem 65536

3. Schreiben Sie das Skript

vim /home/china.sh

Der Inhalt ist wie folgt:

#!/usr/bin/env bash
##下载国内Ip网段并输入到~/cn.zone文件里面，可自定义(如不能访问该网址可自行百度找资源)。
wget --no-check-certificate -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /home/china.txt
##清空china集合
ipset flush china

ip=$(cat /home/china.txt)
for i in $ip
do
##批量将国内Ip网段添加进china集合。
ipset add china $i
done

4. Geben Sie dem Skript Ausführungsberechtigungen

chmod +x /home/china.sh

5. Führen Sie das Skript aus

sh /home/china.sh

Warten Sie einen Moment, Sie können das inländische IP-Segment anzeigen, das in der Datei china.txt, cat /home/china.txt, enthalten ist

6. Überprüfen Sie, ob das inländische IP-Netzwerksegment zur China-Sammlung hinzugefügt wurde

ipset list china

7. Legen Sie Crontab-Timing-Tasks fest

Zum Beispiel: Aktualisieren Sie das IP-Set crontab -e jeden Tag um Null

Fügen Sie wie folgt eine Reihe zeitgesteuerter Aufgaben hinzu:

0 0 * * * /home/china.sh

8. Konfigurieren Sie iptables, um den Zugriff einzuschränken

Fügen Sie iptables-Regeln wie folgt hinzu:

iptables -A INPUT -m set --match-set china src -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

9. Fragen Sie die IP-Informationen ab, die mit dem externen Netzwerk interagieren

iftop