说明:ipset是iptables的扩展,它允许你创建匹配整个IP地址集合的规则。可以快速的让我们屏蔽某个IP段。这里分享个屏蔽指定国家访问的方法,有时候还可以有效的帮网站阻挡下攻击。
方法
首先需要得到国家IP段,下载地址:http://www.ipdeny.com/ipblocks/。这里以我们国家为例。
1、安装ipset
#Debian/Ubuntu系统
apt-get -y install ipset
#CentOS系统
yum -y install ipset
2、创建规则
#创建一个名为cnip的规则
ipset -N cnip hash:net
#下载国家IP段
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#将IP段添加到cnip规则中
for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done
3、开始屏蔽
iptables -I INPUT -p tcp -m set --match-set cnip src -j DROP
4、解除屏蔽
#-D为删除规则
iptables -D INPUT -p tcp -m set --match-set cnip src -j DROP
方法参考:Blocking attack Ips/ddos Ips from China
版权声明:本文为原创文章,版权归 Rat's Blog 所有,转载请注明出处!
本文链接:https://www.moerats.com/archives/584/
如教程需要更新,或者相关链接出现404,可以在文章下面评论留言。
谢谢你的教程,请问怎么加入开机/重启自动加载?我关机或者重启iptables 会导致不生效了,另外能自定义黑名单ip就返回404或者403之类的页面么,谢谢
这个页面是web服务器配置的,比如nginx啥的,开机自启可以放到rc.local文件中,可以搜索下相关用法
这个开了后,连SSH都进不去,能设置成CNIP可访问VPS的SSH服务吗?
用cn的话,肯定连自己也屏蔽了,你可以用Daili上,推荐Xshell客户端。或者用另一个服务器转发22端口。