关于iptables封禁国外ip方法

1、下载安装包

yum -y install iptables
yum -y install ipset

2、添加集合

ipset create china hash:net maxelem 65536

3、编写脚本

vim /home/china.sh

#!/usr/bin/env bash
##下载国内Ip网段并输入到~/cn.zone文件里面，可自定义(如不能访问该网址可自行百度找资源)。
wget --no-check-certificate -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /home/china.txt
##清空china集合
ipset flush china

ip=$(cat /home/china.txt)
for i in $ip
do
##批量将国内Ip网段添加进china集合。
ipset add china $i
done

4、给脚本赋予可执行权限

chmod +x /home/china.sh

5、执行脚本

sh /home/china.sh

(等待一会儿，可以查看china.txt 文件中包含国内的IP段， cat /home/china.txt )

6、检查是否将国内ip网段添加进china集合当中

ipset list china

7、设置crontab定时任务

例如：每天零点更新一次IP集合
crontab -e

添加一行定时任务

0 0 * * * /home/china.sh

8、配置iptables限制访问

添加iptables规则

iptables -A INPUT -m set --match-set china src -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

9、查询和外网交互的ip信息

iftop

posted @ 2022-12-01 20:04 龙凌云端阅读(652) 评论(2) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

龙凌云端

Later is better than never.
Just do it.
Stay hungry. Stay foolish.

关于iptables封禁国外ip方法

关于iptables封禁国外ip方法

1、下载安装包

2、添加集合

3、编写脚本

4、给脚本赋予可执行权限

5、执行脚本

6、检查是否将国内ip网段添加进china集合当中

7、设置crontab定时任务

8、配置iptables限制访问

9、查询和外网交互的ip信息

公告

龙凌云端

Later is better than never. Just do it. Stay hungry. Stay foolish.

关于iptables封禁国外ip方法

关于iptables封禁国外ip方法

1、下载安装包

2、添加集合

3、编写脚本

4、给脚本赋予可执行权限

5、执行脚本

6、检查是否将国内ip网段添加进china集合当中

7、设置crontab定时任务

8、配置iptables限制访问

9、查询和外网交互的ip信息

公告

Later is better than never.
Just do it.
Stay hungry. Stay foolish.