首页 电脑技术 正文

Linux如何屏蔽国外IP

已为老胡 2023-03-21 PM 1012℃ 0条

  网站被国外IP频繁CC攻击,服务器被国外IP频频扫描爆破,怎么搞呢,服务器用的是linux系统,直接屏蔽国外IP吧。

  百度找了很多文章,找到一个https://github.com/17mon/china_ip_list 国内IP库,每月还更新一次,做国内白名单吧。

  ipset 是 iptables 的扩展,它允许你创建匹配整个 IP 地址集合的规则。可以快速的让我们屏蔽某个 IP 段。这里分享一个屏蔽指定国家的 IP 访问的方法和一个屏蔽国外 IP 访问(仅允许国内 IP 访问)的方法,当我们遇到 CC 攻击,可以尝试选择和使用能有所缓解。

  首先需要得到国家 IP 段,下载地址:

  安装ipset

  #Debian/Ubuntu系统
  apt-get -y install ipset
  #CentOS系统
  yum -y install ipset

  创建规则

 

   #创建一个名为cnip的规则
  ipset -N cnip hash:net
  #下载国家IP段
  wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone 这里是中国的
  #将IP段添加到cnip规则中
  for i in (cat /root/cn.zone ); do ipset -A cnip i; done

  开始屏蔽

    iptables -I INPUT -p tcp -m set --match-set cnip src -j DROP

  解除屏蔽

  

    #-D为删除规则
  iptables -D INPUT -p tcp -m set --match-set cnip src -j DROP

  仅允许国内 IP 访问

  注意:此方法仅在 CENTOS 6 下调试通过。

  运行下面的命令获取国内 IP 网段,会保存到 /root/china_ssr.txt

    wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n",

  将下面脚本的完整代码保存为 /root/allcn.sh

  mmode=$1

  #下面语句可以单独执行,不需要每次执行都获取网段表

  

#wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n",
  CNIP="/root/china_ssr.txt"
  gen_iplist() {
  cat <<-EOF
  (cat {CNIP:=/dev/null} 2>/dev/null)
  EOF
  }
  flush_r() {
  iptables -F ALLCNRULE 2>/dev/null
  iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
  iptables -X ALLCNRULE 2>/dev/null
  ipset -X allcn 2>/dev/null
  }
  mstart() {
  ipset create allcn hash:net 2>/dev/null
  ipset -! -R <<-EOF
  $(gen_iplist | sed -e "s/^/add allcn /")
  EOF
  iptables -N ALLCNRULE
  iptables -I INPUT -p tcp -j ALLCNRULE
  iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
  iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
  iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
  iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
  #可在此增加你的公网网段,避免调试ipset时出现自己无法访问的情况
  iptables -A ALLCNRULE -m set --match-set allcn src -j RETURN
  iptables -A ALLCNRULE -p tcp -j DROP
  }
  if [ "$mmode" == "stop" ] ;then
  flush_r
  exit 0
  fi
  flush_r
  sleep 1
  mstart

  设置可执行权限

    chmod a+x /root/allcn.sh

  运行后国外 IP 无法访问网站

    /root/allcn.sh

  运行后国外 IP 恢复访问网站

    /root/allcn.sh stop

  

  屏蔽国外ip对网站是有一定好处,如果你的网站是有一定国外用户,那就不要去屏蔽,一般情况,是不会有国外用户,国外的ip一般都是对你网站进行漏洞扫描等其他操作,屏蔽后对网站也有一定好处。


标签: none

非特殊说明,本博所有文章均为博主原创。

上一篇 Win10一键删除/恢复资源管理器中3D对象 音乐 视频 三个文件夹
下一篇 Intel和NVIDIA的显卡控制面板丢失如何处理

评论啦~


栏目分类 ~

随机文章 ~

热门文章 ~

标签云 ~

小胡 生活 Windows Windows7 工作 PJblog 爱情 生活杂记 小君 小小胡 google PR更新 PR 友情链接 Google PR 网站推广 huliye.org XP 升级 已为老胡 HTML 小胡博客 dedecms Javascript RTM Windows 7 SP1 下载 免费空间 外部链接 思迅
© 2025 已为老胡 - 网络技术研究和生活琐事记录 Poweed by Typecho. 冀ICP备18028044号-5