你可能想要在各种情形下阻止有人通过IP地址访问你的Linux系统。比如说,作为最终用户,你可能想要保护自己,避免已知的间谍软件或跟踪者的IP地址。或者如果你在运行P2P软件,可能想要把来自与违反P2P的活动有关的网络的连接过滤掉。如果你是名系统管理员,可能想要禁止发送垃圾邮件的IP地址访问你的生产环境邮件服务器。或者你可能因某个原因而希望阻止从某些国家访问网站服务器。不过在许多情况下,你的IP地址阻止列表可能迅速扩大到成千上万个IP地址或IP地址区段。那么你该如何应对这种情况?

Netfilter/IPtables的问题

在Linux中,只要借助netfilter/iptables框架,就很容易实现阻止IP地址这一目的:

1
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整个IP地址区段,也能同样做到这一点:

1
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

不过,要是你有1000个没有共同CIDR(无类别域间路由)前缀的独立IP地址想要禁止访问,该如何是好?那你就要设定1000个iptables规则!很显然这种方法不具有良好的扩展性。

1
2
3
4
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .

何谓IP集

这时候,IP集(IP set)就能派得上大用场。IP集是一种内核功能,允许多个(独立)IP地址、MAC地址或者甚至多个端口号高效地编码并存储在比特图/散列内核数据结构里面。一旦创建了IP集,就能创建与该集匹配的iptables规则。

你应该会立马看到使用IP集带来的好处,那就是你只要使用一个iptables规则,就能够与IP集中的多个IP地址进行匹配!你可以结合使用多个IP地址和端口号来构建IP集,还可以用IP集动态更新iptables规则,对性能根本没有任何影响。

将IPset工具安装到Linux上

想创建并管理IP集,你就需要使用一种名为ipset的用户空间工具。

想将ipset安装到Debian、Ubuntu或Linux Mint上:

1
$ sudo apt-get install ipset

想将ipset安装到Fedora或CentOS/RHEL 7上:

1
$ sudo yum install ipset

使用IPset命令禁止IP地址

不妨让我通过几个简单的例子,具体介绍如何使用ipset命令。

首先,不妨创建一个新的IP集,名为banthis(名称随意):

1
$ sudo ipset create banthis hash:net

上述命令中的第二个变量hash:net必不可少,它代表了所创建的集的类型。IP集有多种类型。hash:net类型的IP集使用散列来存储多个CIDR区段。如果你想在该集中存储单个的IP地址,可以改而使用hash:ip类型。

一旦你创建了一个IP集,就可以使用该命令来检查该集:

1
$ sudo ipset list

这显示了可用IP 集的列表,另外还显示了每个集的详细信息,其中包括集成员。默认情况下,每个IP集可以最多含有65536个元素(这里是CIDR区段)。你只要在后面添加“maxelem N”选项,就可以调大这个极限值。

1
$ sudo ipset create banthis hash:net maxelem 1000000

现在不妨将IP地址区段添加到该集:

1
2
3
4
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24

你会发现,集成员已发生了变化。

1
$ sudo ipset list

现在可以使用该IP集来创建一个iptables规则了。这里的关键在于,使用“-m set --match-set ”这个选项。

不妨创建一个iptables规则,阻止该集中的所有那些IP地址区段通过端口80访问网站服务器。这可以通过这个命令来实现:

1
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你想,还可以将特定的IP集保存到一个文件中,然后以后可以从该文件来恢复:

1
2
3
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt

在上述命令中,我试着使用destroy选项来删除现有的IP集,看看我能不能恢复该IP集。

自动禁止IP地址

至此,你应该会看到IP集这个概念有多强大。仍然维持一份最新的IP黑名单可能是件麻烦又费时的活儿。实际上,现在外头有一些免费服务或收费服务可以为你维护这些IP黑名单。另外,不妨看一下我们如何可以将可用IP黑名单自动转换成IP集。

我暂且从免费或收费发布各种IP阻止列表的iblocklist.com获取免费的IP列表。提供了P2P格式的免费版本。

我要使用一款名为iblocklist2ipset的开源python工具,这个工具可以将P2P版本的iblocklist转换成IP sets。

首先,你需要安装好pip(想安装pip,请参阅这篇指导文章:http://ask.xmodulo.com/install-pip-linux.html)。

然后安装iblocklist2ipset,具体如下所示。

1
$ sudo pip install iblocklist2ipset

在Fedora之类的一些发行版上,你可能需要运行这个命令:

1
$ sudo python-pip install iblocklist2ipset

现在进入到iblocklist.com,获取任何P2P列表URL(比如“level1”列表)。

然后将该URL粘贴到下面这个命令中:

1
2
3
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt

在你运行上述命令后,你就创建了一个名为bandthis.txt的文件。如果你检查其内容,就会看到类似以下的内容:

1
2
3
4
5
6
7
8
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14

你可以使用ipset命令,就能轻松装入该文件:

1
$ sudo ipset restore -f banthis.txt

现在,用下面这个命令检查自动创建的IP集:

1
$ sudo ipset list banthis

最后,只需创建一个iptables规则,就能阻止所有这些地址!

结束语

我在本教程中演示了如何使用ipset这个功能强大的工具来阻止不受欢迎的IP地址。再结合iblocklist2ipset之类的第三方工具,你就能轻松简化维护IP地址阻止列表的工作;甚至,你可以写个自动化脚本,通过抓取特定日志中非法请求的IP,自动加载到ipset列表中,就能完成一个轻量型自动化防爆力破解和攻击的防御工具。我写了个现成的脚本,如有需要,留言或E-mail我。