iptables-ipset仅允许国内访问---端口白名单

原创

已于 2023-03-25 22:40:21 修改 · 2.4k 阅读

标签

#服务器 #java #网络

收录于

于 2023-03-23 00:01:04 首次发布

该文介绍了如何通过ipset和iptables创建过滤规则，允许仅中国内地IP访问特定端口，以应对境外肉鸡攻击。首先创建ipset列表，导入大量中国IP，然后在iptables中设置规则进行访问控制。同时，文章还涉及了ipset的保存、恢复、删除以及时间限制等高级功能。

前言：

境外肉鸡攻击有点多，并业务无境外访问需求，IDC机房网络防火墙无法实现8K多条的china大陆地址导入；为实现仅china大陆地址访问，在业务端口如这里的80，使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。

如需简单快捷的方式，搜本博“以错误路由方式禁止境外IP来访”篇 (缺点：主机也无法主动请求境外目标了)

创建ipset得到的备份文件，便于批量添加8k条地址

创建一个ipset

ipset create whitelist hash:net maxelem 1000000

加入一个名单ip

ipset add whitelist 9.9.9.9

查看已经ipset配置内容

ipset list

Name: whitelist
Type: hash:net
Revision: 3
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16816
References: 0
Members:
9.9.9.9

将ipset规则保存到文件

ipset save whitelist -f whitelist.txt

查看备份内容

more whitelist.txt

create whitelist hash:net family inet hashsize 1024 maxelem 1000000
add whitelist 9.9.9.9

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

endzhi

关注关注

0
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Linux下设置iptables防火墙白名单

InjeProgram的博客

09-29

2439

在网络安全中，白名单是一种常见的策略，它允许只有在白名单中的特定IP地址或端口才能与系统进行通信。通过创建一个新的iptables链并添加白名单规则，然后配置防火墙的策略，我们可以实现只允许白名单中的IP地址或端口进行通信的防火墙设置。接下来，我们需要将白名单规则应用到防火墙上，以确保只有在白名单中的IP地址可以访问系统。在这一步，我们需要配置防火墙的默认策略，并将所有不在白名单中的传入连接丢弃。完成上述步骤后，你的Linux系统的防火墙将只允许白名单中的IP地址或端口进行通信，其他连接将被阻止。

linux中的防火墙————iptables

m0_53733914的博客

04-04

1472

iptables(ip->tables) ，ip指的就是我们的网络（IP协议），tables就是表的意思iptables就是一个客户端，该客户端直接和内核空间的net_filter交互，告诉net_filter什么样的流量进行放行，什么样的流量进行阻塞linux的防火墙是由net_filer模块提供的iptables是一个客户端，客户端时用来接收用户命令的iptables讲用户命令转换成对应的net_filter里面的过滤规则。

参与评论您还未登录，请先登录后发表或查看评论

利用ipset与iptables脚本精准限制服务器访问地域（仅限中国IP）

热门推荐

zhangjikuan的专栏

05-29

1万+

iptables iptables [-t 表名] 命令选项［链名］［条件匹配］［-j 目标动作或跳转］ -t 表名可以省略，指定规则存放在哪个表中，默认为filter表用于存放相同功能的规则 filter表: 负责过滤功能能， nat表: 网络地址转换功能 mangle表: 拆解报文做出修改并重新封装的功能 raw表: 关闭nat表上启用的连接追踪机制命令选项 -A 在...

iptables限制ip访问_使用ipset工具设置iptables防火墙黑名单和白名单

weixin_39581945的博客

12-01

1578

官方介绍IP集是Linux内核内部的一个框架，可以通过ipset实用程序进行管理。根据类型的不同，IP集可以以某种方式存储IP地址，网络，(TCP / UDP)端口号，MAC地址，接口名称或它们的组合，以确保将条目与该集匹配时的闪电速度。如果你想一口气存储多个IP地址或端口号，并通过iptables与集合进行匹配；针对IP地址或端口动态更新iptables规则，而不会影响性能；使用一个ipta...

安全(6) : centos[2] : iptables开启白名单限制ip访问

Lxinccode的博客

01-10

3954

参考 :iptables配置ip白名单_洋葱小万666的博客-CSDN博客_iptables设置白名单 系统版本 : CentOS Linux release 7.6.1810 (Core) iptables版本 : iptables v1.4.21 注 : 查看版本 iptables -V 生成修改脚本(因为执行限制输入之后所有连接都会断开,也无法重连,生成shell脚本后面的白名单才能成功添加) cat > modifyIptables.sh << 'EOF'.

iptables白名单

qq_42279718的博客

03-13

3171

iptables

基于iptables 实现 ip 黑名单、白名单

nextvary的博客

05-23

2472

基于iptables 实现 ip 黑名单、白名单

iptables

weixin_44620146的博客

08-01

1227

iptables

Linux防火墙之iptables（下）

qq_62462797的博客

09-15

1716

承接上文，上文介绍了iptables的工作原理，四表五链，以及基本规则的增删改查。本文为上文的拓展，继续延申iptables规则设置的匹配方式。以及如何备份，还原iptables设置，还有修改iptables的初始化设置

iptables防火墙开放、关闭某端口

liujing666888的专栏

12-11

9531

开放某端口：iptables -I INPUT -p tcp --dport 80 -j ACCEPT 关闭某端口 : iptables -D INPUT -p tcp --dport 80 -j ACCEPT 屏蔽某个IP请求 : iptables -I INPUT -s 192.168.0.1 -j DROP (屏蔽单个IP192.168.0.1) 屏蔽IP某段请求 : iptables

iptables白名单模板_iptables 端口白名单应该如何设置才能生效？

weixin_29871753的博客

02-16

661

我设置了 80 和 443 端口只运行白名单 IP 访问，但是发现没有用，实际上任何 IP 都能访问。然后我又测试删除 80 端口的 INPUT 规则，之后依然能访问。明明有 -A INPUT -j DROP。但是 Ben IP 又正常生效 -A INPUT -s 120.26.72.89/32 -j DROP。-A INPUT -i lo -j ACCEPT-A INPUT -m state -...

ipbales 如何设置ip白名单

qq_28269995的博客

02-27

1087

此时多了一条ACCEPT tcp – 10.11.10.63 anywhere tcp dpt:webcache，但是webcache是什么，为什么看不到我们说的8080端口呢，那么我们看下webcache是什么，使用命令grep webcache /etc/services。那现在是不是可以了呢，当然不是，我们这是设置了10.11.10.63访问8080端口，但是并没有关闭其他ip的访问，所有我们还要设置个全局的拒绝策略，如下。

linux添加ip白名单_centOS7 下利用iptables配置IP地址白名单的方法

weixin_31784241的博客

01-17

1571

编辑iptables配置文件，将文件内容更改为如下，则具备了ip地址白名单功能#vim /etc/sysconfig/iptables*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-N whitelist-A whitelist -s 1.2.3.0/24 -j ACCEPT-A whitelist -s 4....

【网络安全】通过iptables和ipset完成服务器防火墙黑名单和白名单功能

没枕头我咋睡觉

07-28

1812

通过iptables和ipset完成服务器防火墙黑名单和白名单功能