Linux使用iptables设置黑白名单

时间 2019-11-09

原文原文链接

使用ipset工具vim

1，下面我先说下iptables的基本配置规则，而后再说ipset
如下使用C7 x86_64为实验环境
CentOS7默认的防火墙不是iptables,而是firewalle.
若是你没有安装iptables的话，你可使用如下命令进行安装
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
上面的意思是先屏蔽掉原有的firewall防火墙，下面咱们就开始安装iptables，至于为何要安装IPtables我就不讲了
yum install iptables iptables-services -y服务器

设置规则
#查看iptables现有规则
iptables -L -n
#先容许全部,否则有可能会杯具
iptables -P INPUT ACCEPT
#清空全部默认规则
iptables -F
#清空全部自定义规则
iptables -X
#全部计数器归0
iptables -Z
#容许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#容许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#容许接受本机请求以后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#其余入站一概丢弃
iptables -P INPUT DROP
#全部出站一概绿灯
iptables -P OUTPUT ACCEPT
#全部转发一概丢弃
iptables -P FORWARD DROP网络

其余规则设定
#若是要添加内网ip信任（接受其全部TCP请求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#过滤全部非以上规则的请求
iptables -P INPUT DROP
#要封停一个IP，使用下面这条命令：
iptables -I INPUT -s ... -j DROP
#要解封一个IP，使用下面这条命令:
iptables -D INPUT -s ... -j DROP数据结构

#保存上述规则
service iptables save
开启iptables服务
#注册iptables服务
#至关于之前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.serviceapp

2，如今咱们介绍ipset
ipset是iptables的扩展,它容许你建立匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也能够进行高效的查找，除了一些经常使用的状况,好比阻止一些危险主机访问本机，从而减小系统资源占用或网络拥塞,IPsets也具有一些新防火墙设计方法,并简化了配置.官网：http://ipset.netfilter.org/tcp

ipset的安装
首先先安装依赖
yum provides '*/applydeltarpm'
yum install deltarpm -y
yum install ipset -y
建立一个ipset
ipset create xxx hash:net （也能够是hash:ip ，这指的是单个ip,xxx是ipset名称）
ipset默承认以存储65536个元素，使用maxelem指定数量
ipset create blacklist hash:net maxelem 1000000 #黑名单
ipset create whitelist hash:net maxelem 1000000 #白名单
查看已建立的ipset
ipset list
在建立的黑名单中添加一个ip
ipset add blacklist 192.168.4.175
删除黑名单ip
ipset del blacklist 192.168.4.175
建立防火墙规则，与此同时，allset这个IP集里的ip都没法访问80端口（如：CC×××可用）
iptables -I INPUT -m set --match-set blacklist src -p tcp -j DROP
iptables -I INPUT -m set --match-set whitelist src -p tcp -j DROP
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP
service iptables save
将ipset规则保存到文件
ipset save blacklist -f blacklist.txt
ipset save whitelist -f whitelist.txt
删除ipset
ipset destroy blacklist
ipset destroy whitelist
导入ipset规则
ipset restore -f blacklist.txt
ipset restore -f whitelist.txt
备注：ipset的一个优点是集合能够动态的修改，即便ipset的iptables规则目前已经启动，新加的入ipset的ip也生效ide

3，应用场景工具

例：某服务器被CC×××，通过抓包或者一序列手段发现有一批IP是源×××ip，所以咱们须要封掉这些IP，若是用iptables一条一条加就麻烦些了。
#对TIME_WAIT的外部ip以及此对ip出现的次数经行求重排序。
netstat -ptan | grep TIME_WAIT | awk '{print $5}' | awk -F: '{print $1}' |sort |uniq -c | sort -n -r
#tcpdump 抓取100个包，访问本机80的ip进行求重排序只显示前20个，数量多的ip可能为×××源IP，咱们须要封掉它
tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20
#新建一个setname.txt文件，以以下格式加入这些ip （有多少个ip就多少行）
vim setname.txt
　　add setname xxx.xxx.xxx.xxx
#导入setname.txt文件到ipset集
ipset restore -f setname.txt
#查看是否导入成功（成功的话会发现一个新ipset名为 sername，且Members里就是那些×××IP）
ipset list
#创建一条iptables规则，拦截这些×××ip访问服务器80，也能够直接禁止这些ip的全部访问
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP.net