ipset是什么闯传?
ipset是iptables的擴展,它允許你創(chuàng)建 匹配整個地址集合的規(guī)則殿漠。而不像普通的iptables鏈只能單IP匹配, ip集合存儲在帶索引的數(shù)據(jù)結構中,這種結構即時集合比較大也可以進行高效的查找赴精,除了一些常用的情況,比如阻止一些危險主機訪問本機,從而減少系統(tǒng)資源占用或網(wǎng)絡擁塞,IPsets也具備一些新防火墻設計方法,并簡化了配置.官網(wǎng):http://ipset.netfilter.org/
1绞幌、ipset安裝
yum安裝: yum install ipset
源代碼安裝:進官網(wǎng)下載ipset-6.30.tar.bz2 蕾哟,
yum -y install libmnl-devel libmnl
tar -jxvf ipset-6.30.tar.bz2 && cd ipset-6.30 && ./configure --prefix=/usr/local/ipset && make && make install 完成安裝
2、創(chuàng)建一個ipset
ipset create allset hash:net (也可以是hash:ip 莲蜘,這指的是單個ip)
2.1渐苏、查看已創(chuàng)建的ipset
2.2、ipset默認可以存儲65536個元素菇夸,使用maxelem指定數(shù)量
ipset create openapi hash:net maxelem 1000000
ipset list
3琼富、加入一個黑名單ip
ipset add allset 145.201.56.109
4、創(chuàng)建防火墻規(guī)則庄新,與此同時鞠眉,allset這個IP集里的ip都無法訪問80端口(如:CC攻擊可用)
iptables -I INPUT -m set --match-set allset src -p tcp --destination-port 80 -j DROP
service iptables save
5、去除黑名單择诈,與此同時械蹋,又可以訪問了
ipset del allset 145.201.56.109
6、將ipset規(guī)則保存到文件
ipset save allset -f allset.txt
7羞芍、刪除ipset
ipset destroy allset
8哗戈、導入ipset規(guī)則
ipset restore -f allset.txt
注意:
1、ipset的一個優(yōu)勢是集合可以動態(tài)的修改荷科,即使ipset的iptables規(guī)則目前已經(jīng)啟動唯咬,新加的入ipset的ip也生效
實例解釋:
例:某服務器被CC攻擊,經(jīng)過抓包或者一序列手段發(fā)現(xiàn)有一批IP是源攻擊ip畏浆,因此我們需要封掉這些IP胆胰,如果用iptables一條一條加就麻煩些了。
#對TIME_WAIT的外部ip以及此對ip出現(xiàn)的次數(shù)經(jīng)行求重排序刻获。
netstat -ptan | grep TIME_WAIT | awk '{print $5}' | awk -F: '{print $1}' |sort |uniq -c | sort -n -r
#tcpdump 抓取100個包蜀涨,訪問本機80的ip進行求重排序 只顯示前20個,這些ip即為攻擊源IP,我們需要封掉它
tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20
#新建一個setname.txt文件厚柳,以如下格式加入這些ip (有多少個ip就多少行)
vim setname.txt
add setname xxx.xxx.xxx.xxx
#導入setname.txt文件到ipset集
ipset restore -f setname.txt
#查看是否導入成功 (成功的話會發(fā)現(xiàn)一個新ipset名為 sername氧枣,且Members里就是那些攻擊IP)
ipset list
#建立一條iptables規(guī)則,攔截這些攻擊ip訪問服務器80别垮,也可以直接禁止這些ip的所有訪問
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP
