ipset介紹
iptables是在linux內核里配置防火牆規則的用戶空間工具,它實際上是netfilter框架的一部分。可能因為iptables是netfilter框架里最常見的部分,所以這個框架通常被稱為iptables,iptables是linux從2.4版本引入的防火牆解決方案。ipset是iptables的擴展,它允許你創建匹配整個地址sets(地址集合) 的規則。而不像普通的iptables鏈是線性的存儲和過濾,ip集合存儲在帶索引的數據結構中,這種結構即使集合比較大也可以進行高效的查找。除了一些常用的情況,比如阻止一些危險主機訪問本機,從而減少系統資源占用或網絡擁塞,ipset也具備一些新防火牆設計方法,並簡化了配置。官網:http://ipset.netfilter.org/
1.ipset安裝(centos7.x默認已經安裝ipset,無需再進行安裝)
yum install ipset
2.創建一個ipset
ipset create xxx hash:ip (hash:ip指的是單個ip,xxx是ipset名稱)
ipset默認可以存儲65536個元素,使用maxelem指定數量
ipset create blacklist hash:ip maxelem 1000000 #黑名單
ipset create whitelist hash:ip maxelem 1000000 #白名單
查看當前服務器已創建的ipset
ipset list
3.加入一個名單ip
ipset add blacklist 10.20.30.12
4.去除名單ip
ipset del blacklist 10.20.30.12
5.創建防火牆規則
iptables -I INPUT -m set --match-set blacklist src -p tcp -j DROP
iptables -I INPUT -m set --match-set whitelist src -p tcp -j DROP
service iptables save
6.將ipset規則保存到文件
ipset save blacklist -f blacklist.txt
ipset save whitelist -f whitelist.txt
7.刪除ipset
ipset destroy blacklist ipset destroy whitelist
8.導入ipset規則
ipset restore -f blacklist.txt ipset restore -f whitelist.txt
ipset的一個優勢是集合可以動態的修改,即使ipset的iptables規則目前已經啟動,新加的入ipset的ip也生效。
ipset使用:使用 ipset 封大量ip
Linux使用iptables封IP,是常用的應對網絡攻擊的方法,但要封禁成千上萬個IP,如果添加成千上萬條規則,對機器性能影響較大,使用ipset能解決這個問題。iptables 包含幾個表,每個表由鏈組成。默認的是 filter 表,最常用的也是 filter 表,另一個比較常用的是nat表,封IP就是在 filter 表的 INPUT 鏈添加規則。在進行規則匹配時,是從規則列表中從頭到尾一條一條進行匹配。這像是在鏈表中搜索指定節點費力。ipset 提供了把這個 O(n) 的操作變成 O(1) 的方法:就是把要處理的 IP 放進一個集合,對這個集合設置一條 iptables 規則。像 iptable 一樣,IP sets 是 Linux 內核中的東西,ipset 這個命令是對它進行操作的一個工具。
簡單的流程
可以用這幾條命令概括使用 ipset 和 iptables 進行 IP 封禁的流程
ipset create vader hash:ip iptables -I INPUT -m set --match-set vader src -j DROP ipset add vader 4.5.6.7 ipset add vader 1.2.3.4 ipset add vader ... ipset list vader # 查看 vader 集合的內容
下面分別對各條命令進行描述。
1、創建一個集合
ipset create vader hash:ip
這條命令創建了名為 vader 的集合,以 hash 方式存儲,存儲內容是 IP 地址。
2、添加 iptables 規則
iptables -I INPUT -m set --match-set vader src -j DROP
如果源地址(src)屬於 vader 這個集合,就進行 DROP 操作。這條命令中,vader 是作為黑名單的,如果要把某個集合作為白名單,添加一個 ‘!’ 符號就可以。
iptables -I INPUT -m set ! --match-set yoda src -j DROP
到現在雖然創建了集合,添加了過濾規則,但是現在集合還是空的,需要往集合里加內容。
3、找出“壞” IP
找出要封禁的 IP,這是封禁過程中重要的步驟,不過不是這里的重點。簡要說明一下兩種方法思路。
netstat -ntu | tail -n +3 | awk '{print $5}' | sort | uniq -c | sort -nr
直接通過 netstat 的信息,把與本地相關的各種狀態的 IP 都計數,排序列出來。
或者從 nginx 或者其他 web server 的日志里找請求數太多的 IP
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr
后半部分,排序,去重,再按次數進行逆向排序的操作,跟上面命令是一樣的。
找出“壞” IP,往之前創建的集合里添加就可以了。
ipset add vader 4.5.6.7
有多少“壞” IP,就添加多少 IP,因為針對這些封禁的 IP 只需要一條 iptables 規則,而這些 IP 是以 hash 方式存儲,所以封禁大量的 IP 也不會影響性能,這也是 ipset 存在的最大目的。
ipset 更多的用法
1、存儲類型
前面例子中的 vader 這個集合是以 hash 方式存儲 IP 地址,也就是以 IP 地址為 hash 的鍵。除了 IP 地址,還可以是網絡段,端口號(支持指定 TCP/UDP 協議),mac 地址,網絡接口名稱,或者上述各種類型的組合。
比如指定 hash:ip,port就是 IP 地址和端口號共同作為 hash 的鍵。查看 ipset 的幫助文檔可以看到它支持的所有類型。
下面以兩個例子說明。
HASH:NET ipset create r2d2 hash:net ipset add r2d2 1.2.3.0/24 ipset add r2d2 1.2.3.0/30 nomatch ipset add r2d2 6.7.8.9 ipset test r2d2 1.2.3.2 hash:net 指定了可以往 r2d2 這個集合里添加 IP 段或 IP 地址。
第三條命令里的 nomatch 的作用簡單來說是把 1.2.3.0/30 從 1.2.3.0/24 這一范圍相對更大的段里“剝離”了出來,也就是說執行完 ipset add r2d2 1.2.3.0/24 只后1.2.3.0/24 這一段 IP 是屬於 r2d2 集合的,執行了 ipset add r2d2 1.2.3.0/30 nomatch 之后,1.2.3.0/24 里 1.2.3.0/30 這部分,就不屬於 r2d2 集合了。執行 ipset test r2d2 1.2.3.2 就會得到結果 1.2.3.2 is NOT in set r2d2.
HASH:IP,PORT ipset create c-3po hash:ip,port ipset add c-3po 3.4.5.6,80 ipset add c-3po 5.6.7.8,udp:53 ipset add c-3po 1.2.3.4,80-86
第二條命令添加的是 IP 地址為 3.4.5.6,端口號是 80 的項。沒有注明協議,默認就是 TCP,下面一條命令則是指明了是 UDP 的 53 端口。最后一條命令指明了一個 IP 地址和一個端口號范圍,這也是合法的命令。
自動過期,解封
ipset 支持 timeout 參數,這就意味着,如果一個集合是作為黑名單使用,通過 timeout 參數,就可以到期自動從黑名單里刪除內容。
ipset create obiwan hash:ip timeout 300 ipset add obiwan 1.2.3.4 ipset add obiwan 6.6.6.6 timeout 60
上面第一條命令創建了名為 obiwan 的集合,后面多加了 timeout 參數,值為 300,往集合里添加條目的默認 timeout 時間就是 300。第三條命令在向集合添加 IP 時指定了一個不同於默認值的 timeout 值 60,那么這一條就會在 60 秒后自動刪除。
隔幾秒執行一次 ipset list obiwan 可以看到這個集合里條目的 timeout 一直在隨着時間變化,標志着它們在多少秒之后會被刪除。
如果要重新為某個條目指定 timeout 參數,要使用 -exit 這一選項。
ipset -exist add obiwan 1.2.3.4 timeout 100
這樣 1.2.3.4 這一條數據的 timeout 值就變成了 100,如果這里設置 300,那么它的 timeout,也就是存活時間又重新變成 300。
如果在創建集合是沒有指定 timeout,那么之后添加條目也就不支持 timeout 參數,執行 add 會收到報錯。想要默認條目不會過期(自動刪除),又需要添加某些條目時加上 timeout 參數,可以在創建集合時指定 timeout 為 0。
ipset create luke hash:ip ipset add luke 5.5.5.5 timeout 100
得到報錯信息 kernel error received: Unknown error -1
hashsize, maxelem 這兩個參數分別指定了創建集合時初始的 hash 大小,和最大存儲的條目數量。
ipset create yoda hash:ip,port hashsize 4096 maxelem 1000000 ipset add yoda 3.4.5.6,3306
這樣創建了名為 yoda 的集合,初始 hash 大小是 4096,如果滿了,這個 hash 會自動擴容為之前的兩倍。最大能存儲的數量是 100000 個。
如果沒有指定,hashsize 的默認值是 1024,maxelem 的默認值是 65536。
2、另外幾條常用命令
ipset del yoda x.x.x.x # 從 yoda 集合中刪除內容 ipset list yoda # 查看 yoda 集合內容 ipset list # 查看所有集合的內容 ipset flush yoda # 清空 yoda 集合 ipset flush # 清空所有集合 ipset destroy yoda # 銷毀 yoda 集合 ipset destroy # 銷毀所有集合 ipset save yoda # 輸出 yoda 集合內容到標准輸出 ipset save # 輸出所有集合內容到標准輸出 ipset restore # 根據輸入內容恢復集合內容 還有……
如果創建集合是指定的存儲內容包含 ip, 例如 hash:ip 或 hash:ip,port ,在添加條目時,可以填 IP 段,但是仍然是以單獨一個個 IP 的方式來存。
上面所有的例子都是用 hash 的方式進行存儲,實際上 ipset 還可以以 bitmap 或者 link 方式存儲,用這兩種方式創建的集合大小,是固定的。