ipset是什么?
ipset是iptables的擴展,它允許你創建 匹配整個地址集合的規則。而不像普通的iptables鏈只能單IP匹配, ip集合存儲在帶索引的數據結構中,這種結構即時集合比較大也可以進行高效的查找,除了一些常用的情況,比如阻止一些危險主機訪問本機,從而減少系統資源占用或網絡擁塞,IPsets也具備一些新防火墻設計方法,并簡化了配置.官網:http://ipset.netfilter.org/
1、ipset安裝
yum安裝: yum install ipset
源代碼安裝:進官網下載ipset-6.30.tar.bz2 ,
yum -y install libmnl-devel libmnl
tar -jxvf ipset-6.30.tar.bz2 && cd ipset-6.30 && ./configure --prefix=/usr/local/ipset && make && make install 完成安裝
2、創建一個ipset
ipset create allset hash:net (也可以是hash:ip ,這指的是單個ip)
2.1、查看已創建的ipset
2.2、ipset默認可以存儲65536個元素,使用maxelem指定數量
ipset create openapi hash:net maxelem 1000000
ipset list
3、加入一個黑名單ip
ipset add allset 145.201.56.109
4、創建防火墻規則,與此同時,allset這個IP集里的ip都無法訪問80端口(如:CC攻擊可用)
iptables -I INPUT -m set --match-set allset src -p tcp --destination-port 80 -j DROP
service iptables save
5、去除黑名單,與此同時,又可以訪問了
ipset del allset 145.201.56.109
6、將ipset規則保存到文件
ipset save allset -f allset.txt
7、刪除ipset
ipset destroy allset
8、導入ipset規則
ipset restore -f allset.txt
注意:
1、ipset的一個優勢是集合可以動態的修改,即使ipset的iptables規則目前已經啟動,新加的入ipset的ip也生效
實例解釋:
例:某服務器被CC攻擊,經過抓包或者一序列手段發現有一批IP是源攻擊ip,因此我們需要封掉這些IP,如果用iptables一條一條加就麻煩些了。
#對TIME_WAIT的外部ip以及此對ip出現的次數經行求重排序。
netstat -ptan | grep TIME_WAIT | awk '{print $5}' | awk -F: '{print $1}' |sort |uniq -c | sort -n -r
#tcpdump 抓取100個包,訪問本機80的ip進行求重排序 只顯示前20個,這些ip即為攻擊源IP,我們需要封掉它
tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20
#新建一個setname.txt文件,以如下格式加入這些ip (有多少個ip就多少行)
vim setname.txt
add setname xxx.xxx.xxx.xxx
#導入setname.txt文件到ipset集
ipset restore -f setname.txt
#查看是否導入成功 (成功的話會發現一個新ipset名為 sername,且Members里就是那些攻擊IP)
ipset list
#建立一條iptables規則,攔截這些攻擊ip訪問服務器80,也可以直接禁止這些ip的所有訪問
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP
