iptables+ipset自动封闭和解封频繁访问web服务的恶意IP

iptables直接针对ip进行封禁，在ip数量不大的时候是没什么问题的，但当有大量ip的时候性能会严重下降,iptables是O(N)的性能。而ipset就像一个集合，把需要封闭的ip地址写入这个集合中，ipset 是O(1)的性能，可以有效解决iptables直接封禁大量IP的性能问题。

1. 如果是RedHat/CentOS，首先用yum（Ubuntu/Debian用将yum换为apt-get既可 )安装ipset。

yum install ipset -y

2.ipset创建基于ip hash的集合名称，例如blacklist，timeout 3600 表示封禁3600s；  iptables开启封禁80，443策略。

ipset create blacklist hash:ip timeout 3600
iptables -A INPUT -p tcp -m set --match-set blacklist src -m multiport --dports 443,80 -j DROP

当然，也可以封禁黑名单IP的所有请求。

iptables -I INPUT -p tcp -m set --match-set blacklist src -m multiport -j DROP

3.基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP的脚本/data/iptables_ipset_deny.sh。

FILES:nginx的access.log文件

sensitive: 敏感关键字

threshold: 一分钟内请求频率阈值

#!/bin/bash

FILES="