屏蔽指定国家访问

已于 2024-07-01 09:43:21 修改
阅读量231 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 数据库
于 2024-02-04 10:40:30 首次发布
原文链接:https://close.gitbook.io/yun-wei-bi-ji/centos/iptable/firewalld-shi-yong-ipset-kuai-su-ping-bi-zhi-ding-guo-jia-de-ip-fang-wen
本文详细介绍了如何在Linux系统中,通过ipset扩展iptables功能,创建规则屏蔽特定国家的IP段,包括安装ipset、创建和管理规则,以及在firewalld和iptables中应用这些规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ipset是iptables的扩展,它允许你创建匹配整个IP地址集合的规则。可以快速的让我们屏蔽某个IP段。这里分享个屏蔽指定国家访问的方法,有时候还可以有效的帮网站阻挡下攻击。

更多参考: https://datacadamia.com/os/linux/firewalld

方法

首先需要得到国家IP段,下载地址:http://www.ipdeny.com/ipblocks/ 这里以我们国家为例。
1.安装ipset
yum -y install ipset
2.创建规则
#创建一个名为cnblocks的规则
ipset -N cnblocks hash:net
#下载国家IP段到当前目录
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#将IP段添加到cnblocks规则中(firewalld)
for i in $(cat /root/cn.zone ); firewall-cmd --permanent --ipset=cnblocks --add-entry=$i; done

CentOS7中自带的是firewalld,添加到规则中时用上面这条命令 如果你换成了iptables,那就用下面这条命令
#将IP段添加到cnblocks规则中(iptables)
for i in $(cat /root/cn.zone ); do ipset -A cnblocks $i; done
3.开始屏蔽
#firewalld
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source ipset=cnblocks drop'
firewall-cmd --reload
 
#iptables
iptables -I INPUT -p tcp -m set --match-set cnblocks src -j DROP
service iptables save
4.解除屏蔽
#firewalld
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source ipset=cnblocks drop'
firewall-cmd --permanent --delete-ipset=cnblocks
firewall-cmd --reload
 
#iptables
iptables -D INPUT -p tcp -m set --match-set cnblocks src -j DROP
ipset destroy cnblocks
service iptables save

或者

新建ipset
firewall-cmd --permanent --new-ipset=blacklist --type=hash:net --option=family=inet --option=hashsize=4096 --option=maxelem=200000
下载 ip段文件
wget http://www.ipdeny.com/ipblocks/data/countries/all-zones.tar.gz
tar -vxzf all-zones.tar.gz
将你想屏蔽的国家加入ipset集合中
firewall-cmd --permanent --ipset=blacklist --add-entries-from-file=./gr.zone
将blacklist集合 定向到 drop区域
firewall-cmd --permanent --zone=drop --add-source=ipset:blacklist
生效
firewall-cmd --reload
手动添加ip进入blacklist
firewall-cmd --permanent --ipset=blacklist --add-entry=IP地址
firewall-cmd --reload
firewalld(6)自定义services、ipset
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-02 1597
自定义服务配置文件:通常位于目录下,文件名以.xml结尾。这些文件允许用户定义自己的服务,包括其使用的端口、协议、模块(如内核模块)以及目标地址等。系统级服务配置文件:位于目录下,这些文件包含预定义的服务配置,这些服务通常是众所周知的网络服务(如HTTP、SSH等)。参考 /usr/lib/firewalld/services/ssh.xml,在下面新建你需要的服务名以.xml结尾,内容格式参照如ssh.xml、rdp.xml等文件中的内容即可。
宝塔linux 屏蔽ip,宝塔屏蔽国外IP保护网站安全
weixin_31256263的博客
05-06 1953
前言自己做了个论坛,论坛里面发了一个cc工具,有人用我发的工具打我论坛,都是国外流量,很强的,基本秒杀我,当时没有做策略服务器硬抗,只是变慢了。最后换到appnode控制面板,因为我记得这个控制面板免费版还不错有个策略防护挺好的。换到APPnode之后,反而被打到500。然后通过百度找到这篇文章《一次很奇葩的 Nginx 500 Internal Server Error》然后查看appnode原...
firewalld系列一:自定义zone与ipset
刘元林的博客
02-25 4317
摘要:本文介绍了在CentOS8中通过firewalld防火墙实现源地址访问控制的方法。由于CentOS8已弃用TCP_Wrappers,作者详细讲解了如何自定义zone和ipset来限制访问。主要内容包括:创建/删除zone、添加源地址、绑定ipset等操作命令,并提供了两个实际案例:案例1展示如何限制SSH访问源地址,案例2则涉及设置管理白名单。文章还包含ipset的创建、条目管理及验证方法,为管理员提供了详细的防火墙配置指南。
firewalld常用命令
qq_44293888的博客
12-21 994
firewall-cmd --permanent --zone=work --change-interface=网卡名称。​ – ipsetipset配置文件。​ – 判断一个ip在集合中是否存在。​ – 往ipset中增加元素。​ – 删除rich-rule。​ – 从ipset删除元素。​ – 切换网卡到指定区域。​ – 查看所有ipset。​ – 查看指定ipset。​ – 删除指定ipset。​ – 查看集合中所有元素。​ – 查看端口相关。​ – 删除ipset。​ – 使用ipset
Linux系统之firewall-cmd详解
最新发布
weixin_56303229的博客
06-03 1658
firewall-cmdfirewalld 服务的命令行客户端,用于在 Linux 系统中动态管理防火墙规则。Firewalld 提供了支持网络区域的动态管理防火墙,而不需要重新加载整个防火墙规则集。
防火墙
李立衡
09-26 350
什么是防火墙? 一道保护性的安全屏障 对内网保护,隔离外网 软件防火墙firewalld 底层是包过滤防火墙iptables iptables的表,链结构:四张表 五条链 表名(表是服务的功能分类) raw 状态跟踪 mangle 打标记 nat 地址转换 filter 过滤表 链名(匹配数据包传输的方向) INPUT 进入防火墙的数据包 OUTPUT...
firewall-cmd经典使用案例
u013454416的博客
03-14 694
总的来说,firewall-cmd是一个强大且灵活的防火墙管理工具,可以帮助用户有效地管理Linux系统的防火墙规则。放置在云上的服务器,无防火墙情况下建议一定要开启系统自身这个firewall-cmd,如需更多关于firewall-cmd的信息,建议查阅相关手册或在线文档。
freeswitch屏蔽国外ip访问
03-18
编写脚本来提取指定国家的所有可能 IPv4 子网,并将其加入到 iptables 的 DROP 表单里。下面是一个简单的 Python 脚本例子: ```python import pygeoip gi = pygeoip.GeoIP('/usr/share/GeoIP/GeoIP.dat') for i ...
Nginx服务器中配置GeoIP模块来拦截指定国家IP
01-10
然后配置相关国家的 ISO 名称,禁止访问即可。记录一下相关过程。 编译 GeoIP 组件 maxmind 提供的免费版数据库已经可以满足需求,在使用数据库前,需要先编译 GeoIP 组件: wget ...
JavaScript屏蔽特定城市用户访问网站的简易方法
资源摘要信息: "通过JS屏蔽某地区(城市)访问网站" 知识点一:地理定位与JavaScript 在互联网上识别用户的地理位置是实现地区访问屏蔽的关键。HTML5规范中包含了一套地理位置API,可以在支持的浏览器上获取用户的...
限制指定地区跳转和不跳转代码
05-08
例如,假设你想让中国地区的用户正常访问,其他国家和地区则跳转到一个提示页面,你可以这样写: ```javascript function checkLocation(latitude, longitude) { var chinaBounds = { minLat: 23.461944, // 广东...
firewalld】CentOS7下firewallipset配置使用详解
热门推荐
Imba
08-24 1万+
一、ipset概述 ipset与iptable iptables是在Linux内核中配置防火墙规则的用户空间工具。在内核版本更新到2.4以来,iptable一直作为系统中主要的防火墙解决方案。CentOS7将原来的iptable替换为firewall,而firewall提供了对ipset的支持。 ipset相当于iptable的扩展,它和iptable 处理方式,iptable通过链表...
linux 配置防火墙 firewalld 屏蔽海外国外IP访问(服务器受到外网未知用户攻击,通过设置防火墙隔绝) 仅允许中国国内ip访问自己在公网上的服务器
weixin_45673197的博客
12-22 6947
屏蔽海外国外IP访问。仅允许中国国内ip访问自己在公网上的服务器
【Linux使用】kali下装zgrab2
小张同学的博客
05-27 1448
在虚拟机的kali里装zgrab2 zgrab2地址:https://github.com/zmap/zgrab2 安装zgrab需要go环境 go下载地址:https://golang.google.cn/dl/ 我是在Windows下好压缩包,拖入虚拟机桌面,然后进入/usr/local目录下打开终端,用cp命令复制到/usr/local下,再解压 //解压 tar -C -xzf go1.12.7.linux-amd64.tar.gz //配置环境变量 vim /etc/profile # 这里
centos7 firewall 防火墙禁止恶意ip请求
求是
09-22 1750
【代码】centos7 firewall 防火墙禁止恶意ip请求
firewalld防火墙配置_firewalld配置规则,2024年最新2024大厂面试合集
2401_84281658的博客
04-17 757
firewall-cmd --add-rich-rule=“rule family=“ipv4” source address=“192.168.2.208” protocol value=“icmp” accept” # 允许192.168.2.208主机的icmp协议,即允许192.168.2.208主机ping。我们需要从日志中提取有用的源IP地址。接下来,就是使用–add-entries-from-file选项将iplist.txt的内容导入到blk_src_ips的ipset空间中。
服务器端口增加白名单设置,使用ipset设置防火墙端口白名单,只让指定国家访问...
weixin_42370743的博客
07-30 2495
1、安装ipset#Debian/Ubuntu系统apt-get-yinstallipset#CentOS系统yum-yinstallipsetCentOS7还需要关闭firewall防火墙:systemctlstopfirewalld.servicesystemctldisablefirewalld.service2、创建规则#创建一个名为cnip的规则ipset-Nc...
禁止国外IP连接服务器
longchun_csdn的博客
04-13 3500
某业务需求,禁止国外IP访问,也能在发生攻击时阻挡部分流量 由于IP地址太多,直接用iptables一条一条的去匹配会影响性能,故使用ipset结合 iptables使用 yum install ipset ipset create china hash:net hashsize 10000 maxelem 1000000 #ipset add china 1.2.3.0/24 ...
linux防火墙富规则,firewalld的富规则
weixin_36202273的博客
05-12 4042
firewalld的富规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中富规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值