2. 程式人生 > >iptables-ipset模組

iptables-ipset模組

阿新 發佈:2018-11-16

利用 ipset 封禁大量 IP

環境:CentOS7.4 自帶6.29 版本(目前全球伺服器廠商普遍使用的CentOS 最高版本為 7.4

 

用途:當機器受到網路***時,使用 iptables IP,有時候可能會封禁成千上萬個 IP,如果新增成千上萬條規則,在一臺注重效能的伺服器或者本身效能就很差的裝置上就不在適用了。ipset 就是為了避免這個問題而生的。

 

基本流程:

ipset create test hash:ip  

iptables -I INPUT -m set --match-set test src -j DROP  

ipset add test 192.168.80.100  

ipset add test 192.168.80.101

ipset add test ...  

ipset list test # 檢視 test 集合的內容

第一步:新建ipset 集合

第二歩:新增iptables 規則

第三步:向ipset中新增ip

 

建立集合

ipset n,create [ SETNAME ] [ TYPENAME ] [ CREATE-OPTIONS ]

SETNAME:即所建立集合的名字

TYPENAME:即型別名字,用型別來儲存ip

CREATE-OPTIONS:即建立選項,

TYPENAME型別所對應的值

1.png

注意:

TYPENAME相關型別有:bitmap link hash

其中bitmap link 的儲存方式的集合大小是固定,hash型別的儲存大小是可變的(後面會解釋的)

CREATE-OPTIONS相關型別有:ip, net, mac, port, iface

即除了ip外,還可以是網路段,埠號(支援指定 TCP/UDP 協議),mac 地址,網路介面名稱,或者多種。


新增iptables 規則

iptables中可以使用 -m set啟用ipset模組

iptables -I INPUT -m set --match-set test src -j DROP

iptables -I INPUT -m set ! --match-set file src -j DROP

如果源地址(src)屬於 test 這個集合,就進行 DROP 操作。這條命令中,test 是作為黑名單的,如果要把某個集合作為白名單,新增一個 ! 符號就可以。

1.png

向集合中新增記錄

inset add [ SETNAME ] [ ADD-ENTRY ] [ ADD-OPTIONS ]

SETNAME:即所要新增ip的集合名字

ADD-ENTRY:所要新增的ip或含埠號等其他型別

ADD-OPTIONS:新增ip時的其他條件(後面會解釋的)

ipset add test 4.5.6.7

1.png 

 

注意:可以同過以下方法找到需要封禁的ip

netstat -ntu | tail -n +3 | awk '{print $5}' | sort | uniq -c | sort -nr

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr

注意:如果建立集合是指定的儲存內容包含 ip, 例如 hash:ip hash:ip,port ,在新增記錄時,可以填 IP 段,但是仍然是以單獨一個個 IP 的方式來儲存的


刪除

刪除集合內的ip

inset del SETNAME DEL-ENTRY

參考新增的解釋

ipset del test 192.168.80.100    # 從 test 集合中刪除內容

1.png 

 

刪除集合

ipset destroy test        # 刪除 test 集合  

ipset destroy            # 刪除所有集合

注意:在刪除集合時,如果該集合被iptables規則已經引用,則需先刪除集合所在的規則,在刪除集合,如果集中存在ip並不會影響刪除集合

 

儲存型別

hash:net

hash:net 指定了可以往file 這個集合裡新增 IP 段或 IP 地址。

ipset create file hash:net  

ipset add file 192.168.80.0/24

ipset add file 192.168.80.0/30 nomatch  

ipset add file 192.168.80.9  

ipset test file 192.168.80.2


第一條命令:建立hash:net集合

第二條命令:新增192.168.80.0/24ip段的範圍

第三條命令:新增192.168.80.0/30ip段的範圍,nomatch 是之前提到的[ ADD-OPTIONS ],就是新增某ip的附加條件

作用:是把 192.168.80.0/30 192.168.80.0/24 這一範圍相對更大的IP段裡“剝離”出來

也就是說執行完 ipset add file 192.168.80.0/24 之後,192.168.80.0/24 這一段 IP 是屬於file 集合的,接著又執行了 ipset add file 192.168.80.0/30 nomatch 之後,192.168.80.0/24 裡包含著的 192.168.80.0/30 這部分,就不屬於file 集合了。執行 ipset test file 192.168.80.2 就會得到結果 192.168.80.2 is NOT in set file,即表示該ip不屬於file集合了

注意:如下圖所示,即使結果出現了192.168.80.2 is NOT in set file,但還是可以新增到file集合中的,所以在新增IP段的時候,要清楚IP段所表示的範圍 

1.png

1.png

1.png

hash:ip,port

ipset create pro hash:ip,port  

ipset add pro 192.168.80.106,80  

ipset add pro 192.168.80.108,udp:53  

ipset add pro 192.168.80.104,80-86  

第一條:建立 hash:ip,port 集合

第二條:新增 IP 地址為192.168.80.106埠號為80的記錄,沒有註明協議,默為TCP協議

第三條:註明協議為UDP協議

第四條:註明了IP地址和一個埠號範圍,這也是合法的命令

1.png 

 

需要注意的是,前面有說過的:如果建立集合是指定的儲存內容包含 ip, 例如 hash:ip hash:ip,port ,在新增記錄時,可以填 IP 段,但是仍然是以單獨一個個 IP 的方式來儲存的

 

解封

建立

如果一個集合是作為黑名單使用,可以通過timeout引數,實現到期自動從黑名單裡刪除記錄

ipset create time hash:ip timeout 300  

ipset add time 192.168.80.103  

ipset add time 192.168.80.105 timeout 60

第一條:建立一個含有timeout引數的time集合,預設值為1000s

第二條:在新增IP時不加timeout引數時,預設timeout 時間就時1000s

第三條:向集合新增IP 時指定了不同於預設值的 timeout 數值 100,那麼這一條記錄就會在100s後自動刪除

 

當我們再次檢視time集合時,可以看到時間在倒計時,標誌著它們在多少秒之後會被刪除

1.png 

 

修改

如果要重新為某條記錄指定 timeout 引數,可以使用 -exit 引數

ipset -exist add time 192.168.80.103 timeout 500

這樣192.168.80.103 這一條資料的timeout 值就變成了500

1.png 

 

注意:

1. 如果在建立集合時沒有指定timeout,那麼之後新增記錄時不支援timeout 引數,但如果在集合沒有指定timeout時,在新增記錄時使用了timeout引數,會報出錯誤想

2. 如果需要預設記錄不會過期(自動刪除),又需要新增某條記錄時加timeout引數,可以在建立集合時指定timeout的值為0

如下圖所示:

ipset create err hash:ip  

ipset add err 192.168.80.107 timeout 100  

# 報錯資訊為:ipset v6.29: Kernel error received: Unknown error -1

 

 1.png

hash的自增

前面說過:bitmap link 的儲存方式的集合大小是固定,hash型別的儲存大小是可變的

下面介紹下hash的兩個引數

hashsize:指定了建立集合時初始大小

maxelem:指定了集合最大儲存記錄的數量

如下圖所示:

ipset create initia hash:ip,port hashsize 4096 maxelem 1000000  

ipset add initia 192.168.80.109

這樣就建立了一個 initia 集合,初始 hash 大小是 2048,如果滿了 hash 會自動擴容為之前的兩倍,最大能儲存的數量是 100000

12.png 


注意:如果沒有指定,則hashsize的預設初始值為1024maxelem的預設最大值為65536

 

其他常用命令(包括前面提到的刪除)

ipset del test x.x.x.x    # test 集合中刪除內容

ipset list test          # 檢視 test 集合內容  

ipset list             # 檢視所有集合的內容  

ipset flush test         # 清空 test 集合  

ipset flush            # 清空所有集合  

ipset destroy test        # 銷燬 test 集合  

ipset destroy           # 銷燬所有集合

ipset save test          # 輸出 test 集合內容到標準輸出  

ipset save             # 輸出所有集合內容到標準輸出  

ipset restore           # 根據輸入內容恢復集合內容  


相關推薦

iptables-ipset模組

利用 ipset 封禁大量 IP 環境:CentOS7.4 自帶6.29 版本(目前全球伺服器廠商普遍使用的CentOS 最高版本為 7.4)   用途:當機器受到網路***時,使用 iptables 封 IP,有時候可能會封禁成千上萬個 IP,如果新增成千上萬條規則,在一臺注重效能的伺服

iptables擴充套件模組tcp的擴充套件匹配條件 --tcp-flags

轉載自http://www.zsythink.net/archives/1578 防止SYN攻擊,可以在iptables中做如下配置 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,

iptables+ipset自動封閉和解封頻繁訪問web服務的惡意IP

轉載自https://blog.csdn.net/firehive/article/details/81260169 iptables直接針對ip進行封禁,在ip數量不大的時候是沒什麼問題的,但當有大量ip的時候效能會嚴重下降,iptables是O(N)的效能。而ipset就像一個集合,把需要封

iptables limit 模組限速不準確原因分析

iptables -I test -m limit --limit xxx/yyyiptables使用者空間:libxt_limit.c int parse_rate(const char *rate, uint32_t *val)該函式中:*val = XT_LIMIT_

iptables載入模組實踐總結

給iptables載入模組的方法: 1,首先,要編寫出使用者態的模組 .so, 這個模組把它放入iptables工具的lib中, 一般這個位置在 /lib/xtables中,如果是手動編譯而且沒有更改路徑的化,那麼一般是在 /usr/local/lib/xtables中。

iptables ipset 實用命令

iptables -t nat -L --line-numbers iptables -D INPUT 3: 通過Chain Name(INPUT) 和 line number(3)來刪除規則 i

iptables 用法及常用模組

iptables傳輸資料包的過程:   1. 當一個數據包進入網絡卡時,它首先進入PREROUTING鏈,核心根據資料包目的IP判斷是否需要轉送出去。   2. 如果資料包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。資料包到了INPUT鏈後,任何程序都會收到它。本機上執行的

iptables的tcp擴充套件模組,multiport擴充套件模組

注意,與之前的選項不同,--dport前有兩條"橫槓",而且,使用--dport選項時,必須事先指定了使用哪種協議,即必須先使用-p選項,示例如下 上圖中,我們就使用了擴充套件匹配條件--dport,指定了匹配報文的目標埠,如果外來報文的目標埠為本機的22號埠(ssh預設埠),則拒絕之。

ipset如何與netfilter核心模組進行通訊

最近需要使用ipset,iptables,和netfilter,所以把三者的原始碼看大概閱讀了一遍。 前面我們學習過應用層ipset和netfilter模組之間通訊是採用的netlink套接字 使用者空間的ipset命令通過 libipset.so 這個庫和核心通訊 一、ipset主

初探iptables自動載入模組原理

iptables使用dlopen載入動態庫,每個庫中都定義了void _init(void)函式,在使用dlopen載入庫的時候系統會呼叫_init函式, 在_init函式中呼叫xtables_register_match對模組進行註冊。iptables這種動態載入模組的方式很適合做定製開發,所以我就自己

iptables利用connlimit模組限制同一IP連線數

        轉:http://blog.51cto.com/mrxiong/1589429   connlimit模組允許你限制每個客戶端IP的併發連線數,即每個IP同時連線到一個伺服器個數。   connlimit模組主要可以限制內網使用者的網路使用,對伺服器而言則可以限制每個IP發起的連線數。

Iptables之conntrack連線跟蹤模組

Iptables是有狀態機制的防火牆,通過conntrack模組跟蹤記錄每個連線的狀態,通過它可制定嚴密的防火牆規則。 可用狀態機制: 1 2 3 4 5 #http://blog.onovps.com NEW #新連線資料包 ESTABLISHED #已連線資料

iptables-extensions拓展模組

iptables-extensions Section: iptables 1.4.18 (8) Updated: Index NAME iptables-extensions --- list of extensions in the standard iptables

使用iptables CONNMARK target和conntrack 模組記錄資料流的轉發狀態

1、每個資料流在linux 核心中由一個struct sk_buff結構來表示,這個sk_buff結構有一個32位無符號整型的mark成員,用來儲存該skb的mark標記值,在netfilter框架中可以動態修改該mark值。 2、每條在linux核心中成功轉發的資料流都會

iptables的time模組下載(適用於linux 2.6.18.1核心)

iptables的time模組可以根據時間對資料包做出限制,蠻有用的一個功能。 由於這個time模組作者很久已經沒有維護了,並且雖然iptables 1.3.7裡面有libipt_time.c但是並沒有 將其編譯,所以在2.6核心上www.netfilter.org提供的補丁

Linux裡的防火牆(下):iptables的擴充套件模組——l7-filter的安裝與功能實現

如果在公司裡做網路管理員,老闆可能會讓你遮蔽掉qq和xunlei,那麼如果通過iptables來實現這些功能? 首先,要知道qq和xunlei都是特定的服務,它們在傳送資料的時候,必然會由一些特徵值在資料中,那麼我們的iptables如果想要攔截這些資料,就需要知道它們的

iptables的state模組的4種封包連結狀態

在iptables下這個模組叫state,在NetFilter結構裡,該模組儲存在xt_state.ko這個檔案中。這裡我們稱呼其為state模組。 在state中封包的4種連結狀態分別為: EST

CentOS 7 iptables 開放8080端口

services tcp -a post complete art 端口 -m war # 安裝iptables-services [[email protected]/* */ bin]# yum install iptables-services [[em

Linux基礎優化之SElinux和iptables

linux基礎優化版權聲明: ########################################################################### 本文的所有內容均來自作者劉春凱的學習總結,未經本人許可,禁止私自轉發及使用。 QQ:1151887353 E-mail:[ema

iptables學習

規則 pre com 重啟 語法 操作 解析 添加 示例 iptables為我們預先定義了四張表 raw、mangle、nat、filter filter表負責過濾:允許那些ip訪問、拒絕那些ip訪問、允許那些端口。。。是最常用的表 #查看表裏面所有的規則iptables