如何在Linux上高效阻止恶意IP地址

在Linux中，只要借助netfilter/iptables框架，就很容易实现阻止IP地址这一目的：

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整个IP地址区段，也能同样做到这一点：

$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

不过，要是你有1000个没有共同CIDR(无类别域间路由)前缀的独立IP地址想要禁止访问，该如何是好?那你就要设定1000个iptables规则!很显然这种方法不具有良好的扩展性。

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

. . . .

何谓IP集?

这时候，IP集(IP set)就能派得上大用场。IP集是一种内核功能，允许多个(独立)IP地址、MAC地址或者甚至多个端口号高效地编码并存储在比特图/散列内核数据结构里面。一旦创建了IP集，就能创建与该集匹配的iptables规则。

你应该会立马看到使用IP集带来的好处，那就是你只要使用一个iptables规则，就能够与IP集中的多个IP地址进行匹配!你可以结合使用多个IP地址和端口号来构建IP集，还可以用IP集动态更新iptables规则，对性能根本没有任何影响。

将IPset工具安装到Linux上

想创建并管理IP集，你就需要使用一种名为ipset的用户空间工具。

想将ipset安装到Debian、Ubuntu或Linux Mint上：

$ sudo apt-get install ipset

想将ipset安装到Fedora或CentOS/RHEL 7上：

$ sudo yum install ipset

使用IPset命令禁止IP地址

不妨让我通过几个简单的例子，具体介绍如何使用ipset命令。

首先，不妨创建一个新的IP集，名为banthis(名称随意)：

$ sudo ipset create banthis hash:net

上述命令中的第二个变量(hash:net)必不可少，它代表了所创建的集的类型。IP集有多种类型。hash:net类型的IP集使用散列来存储多个CIDR区段。如果你想在该集中存储单个的IP地址，可以改而使用hash:ip类型。

一旦你创建了一个IP集，就可以使用该命令来检查该集：

$ sudo ipset list

这显示了可用IP 集的列表，另外还显示了每个集的详细信息，其中包括集成员。默认情况下，每个IP集可以最多含有65536个元素(这里是CIDR区段)。你只要在后面添加“maxelem N”选项，就可以调大这个极限值。

$ sudo ipset create banthis hash:net maxelem 1000000

现在不妨将IP地址区段添加到该集：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会发现，集成员已发生了变化。

$ sudo ipset list

现在可以使用该IP集来创建一个iptables规则了。这里的关键在于，使用“-m set --match-set ”这个选项。

不妨创建一个iptables规则，阻止该集中的所有那些IP地址区段通过端口80访问网站服务器。这可以通过这个命令来实现：

$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你想，还可以将特定的IP集保存到一个文件中，然后以后可以从该文件来恢复：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

在上述命令中，我试着使用destroy选项来删除现有的IP集，看看我能不能恢复该IP集。

自动禁止IP地址

至此，你应该会看到IP集这个概念有多强大。仍然维持一份最新的IP黑名单可能是件麻烦又费时的活儿。实际上，现在外头有一些免费服务或收费服务可以为你维护这些IP黑名单。另外，不妨看一下我们如何可以将可用IP黑名单自动转换成IP集。

我暂且从免费或收费发布各种IP阻止列表的iblocklist.com获取免费的IP列表。提供了P2P格式的免费版本。

我要使用一款名为iblocklist2ipset的开源python工具，这个工具可以将P2P版本的iblocklist转换成IP sets。

首先，你需要安装好pip(想安装pip，请参阅这篇指导文章：http://ask.xmodulo.com/install-pip-linux.html)。

然后安装iblocklist2ipset，具体如下所示。

$ sudo pip install iblocklist2ipset

在Fedora之类的一些发行版上，你可能需要运行这个命令：

$ sudo python-pip install iblocklist2ipset

现在进入到iblocklist.com，获取任何P2P列表URL(比如“level1”列表)。

然后将该URL粘贴到下面这个命令中：

$ iblocklist2ipset generate \

--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \

>banthis.txt

在你运行上述命令后，你就创建了一个名为bandthis.txt的文件。如果你检查其内容，就会看到类似以下的内容：

create banthis hash:net family inet hashsize 131072 maxelem 237302

add banthis 1.2.4.0/24

add banthis 1.2.8.0/24

add banthis 1.9.75.8/32

add banthis 1.9.96.105/32

add banthis 1.9.102.251/32

add banthis 1.9.189.65/32

add banthis 1.16.0.0/14

你可以使用ipset命令，就能轻松装入该文件：

$ sudo ipset restore -f banthis.txt

现在，用下面这个命令检查自动创建的IP集：

$ sudo ipset list banthis

截至本文截稿时，“level1”阻止列表含有237000多个IP地址区段。你会发现，许多IP地址区段已经被添加到了IP集中。

最后，只需创建一个iptables规则，就能阻止所有这些地址!

这个问题问得太不清楚了~你是要在某个服务中屏蔽某个ip段，还是什么别的情况？不同的服务，权限设置方法是不同的。假如你要屏蔽所有从该网段过来的信息，那可以使用防火墙：

iptables -I INPUT 1 -p tcp -s <deny_ip_addr>-j DROP

iptables -I INPUT 1 -p udp -s <deny_ip_addr>-j DROP

/etc/init.d/iptables save

就行了~

Netfilter/IPtables 的问题

在Linux中，可以很简单地用netfilter/iptables框架禁止IP地址：

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

如果你想要完全屏蔽一个IP地址段，你可以用下面的命令很简单地做到：

$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP

然而，当你有1000个独立IP地址，且不带CIDR（无类别域间路由）前缀，你该怎么做？你要有1000条iptable规则！这显然这并不适于大规模屏蔽。

$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP

使用IPset命令禁止IP

让我通过简单的示例告诉你该如何使用ipset命令。

首先，让我们创建一条新的IP集，名为banthis（名字任意）：

$ sudo ipset create banthis hash:net

第二个参数(hash:net)是必须的，代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址，你可以使用hash:ip类型。

一旦创建了一个IP集之后，你可以用下面的命令来检查：

$ sudo ipset list

这显示了一个可用的IP集合列表，并有包含了集合成员的详细信息。默认上，每个IP集合可以包含65536个元素（这里是CIDR块）。你可以通过追加"maxelem N"选项来增加限制。

$ sudo ipset create banthis hash:net maxelem 1000000

现在让我们来增加IP块到这个集合中：

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会看到集合成员已经改变了。

$ sudo ipset list

现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。

现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令：

$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP

如果你愿意，你可以保存特定的IP集到一个文件中，以后可以从文件中还原：

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

上面的命令中，我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。

---