0. Hintergrundbeschreibung
Die von Einzelpersonen gekauften Tencent Cloud- oder Alibaba Cloud-Maschinen stellen einige Anwendungsdienste bereit, und „Hacker“ können böswillig angreifen, wobei einige inländische IPs verwenden und andere ausländische IPs simulieren.
Dieser Artikel konzentriert sich hauptsächlich auf die Methode zum Verbot ausländischer IP.
1. Installieren Sie abhängige Pakete
yum -y install iptables
yum -y install ipset
2. Sammlung hinzufügen
ipset create china hash:net maxelem 65536
3. Schreiben Sie das Skript
vim /home/china.sh
Der Inhalt ist wie folgt:
#!/usr/bin/env bash
##下载国内Ip网段并输入到~/cn.zone文件里面,可自定义(如不能访问该网址可自行百度找资源)。
wget --no-check-certificate -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /home/china.txt
##清空china集合
ipset flush china
ip=$(cat /home/china.txt)
for i in $ip
do
##批量将国内Ip网段添加进china集合。
ipset add china $i
done
4. Geben Sie dem Skript Ausführungsberechtigungen
chmod +x /home/china.sh
5. Führen Sie das Skript aus
sh /home/china.sh
Warten Sie einen Moment, Sie können das inländische IP-Segment anzeigen, das in der Datei china.txt, cat /home/china.txt, enthalten ist
6. Überprüfen Sie, ob das inländische IP-Netzwerksegment zur China-Sammlung hinzugefügt wurde
ipset list china
7. Legen Sie Crontab-Timing-Tasks fest
Zum Beispiel: Aktualisieren Sie das IP-Set crontab -e jeden Tag um Null
Fügen Sie wie folgt eine Reihe zeitgesteuerter Aufgaben hinzu:
0 0 * * * /home/china.sh
8. Konfigurieren Sie iptables, um den Zugriff einzuschränken
Fügen Sie iptables-Regeln wie folgt hinzu:
iptables -A INPUT -m set --match-set china src -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
9. Fragen Sie die IP-Informationen ab, die mit dem externen Netzwerk interagieren
iftop