本文主要介绍如何使用ipset和iptables屏蔽某IP访问某些端口
对于IP的屏蔽大概只有两种方式: 加白和加黑。
加白就是把允许访问的ip添加入白名单中,没在白名单中的都进行过滤,不允许访问加黑就是把不允许访问的ip加入到黑名单中,没在黑名单中的不做限制:::tip 示例 加黑模式
这里以封禁中国境内ip访问某境外服务器的3306端口为例;
a.b.c.d:::
21:33 ➜ ~ nc -v -z a.b.c.d 3306
Connection to a.b.c.d port 9966 [tcp/mysql] succeeded!
ipset是iptables的扩展,通过它创建匹配整个IP地址集合的规则, 可以快速的让我们屏蔽某个IP段
apt update
apt install -y ipset
我们通常可以从http://www.ipdeny.com获取相关的ip信息, 之前github上也有维护相关的ipset.zone的。
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
hash:net类型的集合适用于存储IP地址和CIDR地址块# 创建一个名为cnip的规则
ipset -N cnip hash:net
# 下面的方式也可以,同上面的
ipset create cnip hash:net
# 导入ip段信息
for i in $(cat ./cn.zone ); do ipset -A cnip $i; done
查看规则
# 查看所有
ipset list
# 查看cnip的
ipset list cnip
iptables -I INPUT -p tcp -m multiport --dport 3306 -m set --match-set cnip src -j DROP
iptables -I INPUT -p udp -m multiport --dport 3306 -m set --match-set cnip src -j DROP
21:33 ➜ ~ nc -v -z a.b.c.d 3306
nc: connectx to a.b.c.d port 3306 [tcp/mysql] failed:Connection timed out
iptables -D INPUT -p tcp -m multiport --dport 3306 -m set --match-set cnip src -j DROP
iptables -D INPUT -p udp -m multiport --dport 3306 -m set --match-set cnip src -j DROP
ipset destroy cnip