Linux使用iptables設置黑白名單

使用ipset工具

1，下面我先說下iptables的基本配置規則，然后再說ipset
以下使用C7 x86_64為實驗環境
CentOS7默認的防火牆不是iptables,而是firewalle.
如果你沒有安裝iptables的話，你可以使用以下命令進行安裝
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
上面的意思是先屏蔽掉原有的firewall防火牆，下面我們就開始安裝iptables，至於為什么要安裝IPtables我就不講了
yum install iptables iptables-services -y

設置規則
#查看iptables現有規則
iptables -L -n
#先允許所有,不然有可能會杯具
iptables -P INPUT ACCEPT
#清空所有默認規則
iptables -F
#清空所有自定義規則
iptables -X
#所有計數器歸0
iptables -Z
#允許來自於lo接口的數據包(本地訪問)
iptables -A INPUT -i lo -j ACCEPT
#開放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#開放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#開放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#開放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允許ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允許接受本機請求之后的返回數據 RELATED,是為FTP設置的
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丟棄
iptables -P INPUT DROP
#所有出站一律綠燈
iptables -P OUTPUT ACCEPT
#所有轉發一律丟棄
iptables -P FORWARD DROP

其他規則設定
#如果要添加內網ip信任（接受其所有TCP請求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#過濾所有非以上規則的請求
iptables -P INPUT DROP
#要封停一個IP，使用下面這條命令：
iptables -I INPUT -s ... -j DROP
#要解封一個IP，使用下面這條命令:
iptables -D INPUT -s ... -j DROP

#保存上述規則
service iptables save
開啟iptables服務
#注冊iptables服務
#相當於以前的chkconfig iptables on
systemctl enable iptables.service
#開啟服務
systemctl start iptables.service
#查看狀態
systemctl status iptables.service

2，現在我們介紹ipset
ipset是iptables的擴展,它允許你創建 匹配整個地址集合的規則。而不像普通的iptables鏈只能單IP匹配, ip集合存儲在帶索引的數據結構中,這種結構即時集合比較大也可以進行高效的查找，除了一些常用的情況,比如阻止一些危險主機訪問本機，從而減少系統資源占用或網絡擁塞,IPsets也具備一些新防火牆設計方法,並簡化了配置.官網：http://ipset.netfilter.org/

ipset的安裝
首先先安裝依賴
yum provides '*/applydeltarpm'
yum install deltarpm -y
yum install ipset -y
創建一個ipset
ipset create xxx hash:net （也可以是hash:ip ，這指的是單個ip,xxx是ipset名稱）
ipset默認可以存儲65536個元素，使用maxelem指定數量
ipset create blacklist hash:net maxelem 1000000 #黑名單
ipset create whitelist hash:net maxelem 1000000 #白名單
查看已創建的ipset
ipset list
在創建的黑名單中添加一個ip
ipset add blacklist 192.168.4.175
刪除黑名單ip
ipset del blacklist 192.168.4.175
創建防火牆規則，與此同時，allset這個IP集里的ip都無法訪問80端口（如：CC×××可用）
iptables -I INPUT -m set --match-set blacklist src -p tcp -j DROP
iptables -I INPUT -m set --match-set whitelist src -p tcp -j DROP
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP
service iptables save
將ipset規則保存到文件
ipset save blacklist -f blacklist.txt
ipset save whitelist -f whitelist.txt
刪除ipset
ipset destroy blacklist
ipset destroy whitelist
導入ipset規則
ipset restore -f blacklist.txt
ipset restore -f whitelist.txt
備注：ipset的一個優勢是集合可以動態的修改，即使ipset的iptables規則目前已經啟動，新加的入ipset的ip也生效

3，應用場景

例：某服務器被CC×××，經過抓包或者一序列手段發現有一批IP是源×××ip，因此我們需要封掉這些IP，如果用iptables一條一條加就麻煩些了。
#對TIME_WAIT的外部ip以及此對ip出現的次數經行求重排序。
netstat -ptan | grep TIME_WAIT | awk '{print $5}' | awk -F: '{print $1}' |sort |uniq -c | sort -n -r
#tcpdump 抓取100個包，訪問本機80的ip進行求重排序 只顯示前20個，數量多的ip可能為×××源IP，我們需要封掉它
tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20
#新建一個setname.txt文件，以如下格式加入這些ip （有多少個ip就多少行）
vim setname.txt
　　add setname xxx.xxx.xxx.xxx
#導入setname.txt文件到ipset集
ipset restore -f setname.txt
#查看是否導入成功 （成功的話會發現一個新ipset名為 sername，且Members里就是那些×××IP）
ipset list
#建立一條iptables規則，攔截這些×××ip訪問服務器80，也可以直接禁止這些ip的所有訪問
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP