linux禁止訪問某ip
1. linux如何禁止某個ip連接伺服器
兩個文件是控制遠程訪問設置的,通過設置這個文件可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
如 果請求訪問的主機名或IP不包含在/etc/hosts.allow中,那麼tcpd進程就檢查/etc/hosts.deny。看請求訪問的主機名或 IP有沒有包含在hosts.deny文件中。如果包含,那麼訪問就被拒絕;如果既不包含在/etc/hosts.allow中,又不包含在/etc /hosts.deny中,那麼此訪問也被允許。
文件的格式為:<daemon list>:<client list>[:<option>:<option>:...]
daemon list:服務進程名列表,如telnet的服務進程名為in.telnetd
client list:訪問控制的客戶端列表,可以寫域名、主機名或網段,如.python.org或者192.168.1.
option:可選選項,這里可以是某些命令,也可以是指定的日誌文件
文件示例:hosts.deny文件
in.telnetd:.python.org
vsftpd:192.168.0.
sshd:192.168.0.0/255.255.255.0
第一行vpser.net表示,禁止python.org這個域里的主機允許訪問TELNET服務,注意前面的那個點(.)。
第二行表示,禁止192.168.0這個網段的用戶允許訪問FTP服務,注意0後面的點(.)。
2. linux如何禁止某個ip連接伺服器
/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的,通過設置這個文件可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
如果請求訪問的主機名或IP不包含在/etc/hosts.allow中,那麼tcpd進程就檢查/etc/hosts.deny。看請求訪問的主機名或IP有沒有包含在hosts.deny文件中。如果包含,那麼訪問就被拒絕;如果既不包含在/etc/hosts.allow中,又不包含在/etc/hosts.deny中,那麼此訪問也被允許。
文件的格式為:<daemon list>:<client list>[:<option>:<option>:...]
daemon list:服務進程名列表,如telnet的服務進程名為in.telnetd
client list:訪問控制的客戶端列表,可以寫域名、主機名或網段,如.python.org或者192.168.1.
option:可選選項,這里可以是某些命令,也可以是指定的日誌文件
文件示例:hosts.deny文件
in.telnetd:.python.org
vsftpd:192.168.0.
sshd:192.168.0.0/255.255.255.0
第一行vpser.net表示,禁止python.org這個域里的主機允許訪問TELNET服務,注意前面的那個點(.)。
第二行表示,禁止192.168.0這個網段的用戶允許訪問FTP服務,注意0後面的點(.)。
第三行表示,禁止192.168.0這個網段的用戶允許訪問SSH服務,注意這里不能寫為192.168.0.0/24。在CISCO路由器種這兩中寫法是等同的。
3. 如何在Linux下大量屏蔽惡意IP地址
很多情況下,你可能需要在Linux下屏蔽IP地址。比如,作為一個終端用戶,你可能想要免受間諜軟體或者IP追蹤的困擾。或者當你在運行P2P軟體時。你可能想要過濾反P2P活動的網路鏈接。如果你是一名系統管理員,你可能想要禁止垃圾IP地址訪問你們的公司郵件伺服器。或者你因一些原因想要禁止某些國家訪問你的web服務。在許多情況下,然而,你的IP地址屏蔽列表可能會很快地增長到幾萬的IP。該如何處理這個?
Netfilter/IPtables 的問題
在Linux中,可以很簡單地用netfilter/iptables框架禁止IP地址:
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
如果你想要完全屏蔽一個IP地址段,你可以用下面的命令很簡單地做到:
$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP
然而,當你有1000個獨立IP地址,且不帶CIDR(無類別域間路由)前綴,你該怎麼做?你要有1000條iptable規則!這顯然這並不適於大規模屏蔽。
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP
....
什麼是IP集?
這時候就是IP集登場了。IP集是一個內核特性,它允許多個(獨立)IP地址、MAC地址或者甚至是埠號被編碼和有效地存儲在點陣圖/哈希內核數據結構中。一旦IP集創建之後,你可以創建一條iptables規則來匹配這個集合。
你馬上就會看見IP集合的好處了,它可以讓你用一條iptable規則匹配多個ip地址!你可以用多個IP地址和埠號的方式來構造IP集,並且可以動態地更新規則而沒有性能影響。
在Linux中安裝IPset工具
為了創建和管理IP集,你需要使用稱為ipset的用戶空間工具。
要在Debian、Ubuntu或者Linux Mint上安裝:
$ sudo apt-get install ipset
Fedora或者CentOS/RHEL 7上安裝:
$ sudo yum install ipset
使用IPset命令禁止IP
讓我通過簡單的示例告訴你該如何使用ipset命令。
首先,讓我們創建一條新的IP集,名為banthis(名字任意):
$ sudo ipset create banthis hash:net
第二個參數(hash:net)是必須的,代表的是集合的類型。IP集有多個類型。hash:net類型的IP集使用哈希來存儲多個CIDR塊。如果你想要在一個集合中存儲單獨的IP地址,你可以使用hash:ip類型。
一旦創建了一個IP集之後,你可以用下面的命令來檢查:
$ sudo ipset list
這顯示了一個可用的IP集合列表,並有包含了集合成員的詳細信息。默認上,每個IP集合可以包含65536個元素(這里是CIDR塊)。你可以通過追加"maxelem N"選項來增加限制。
$ sudo ipset create banthis hash:net maxelem 1000000
現在讓我們來增加IP塊到這個集合中:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會看到集合成員已經改變了。
$ sudo ipset list
以上圖片上傳到紅聯Linux系統教程頻道中。
現在是時候去創建一個使用IP集的iptables規則了。這里的關鍵是使用"-m set --match-set "選項。
現在讓我們創建一條讓之前那些IP塊不能通過80埠訪問web服務的iptable規則。可以通過下面的命令:
$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP
如果你願意,你可以保存特定的IP集到一個文件中,以後可以從文件中還原:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中,我使用了destory選項來刪除一個已有的IP集來看看我是否可以還原它。
4. linux怎麼禁止訪問某個ip
在伺服器上進行如下命令操作進行規則設置即可:
#iptables -A INPUT -s ip段/網路位數 -j DROP
例如:禁止172.16.1.0/24網段訪問伺服器,直接在伺服器上用命令就可以實現
#iptables -A INPUT -s 172.16.1.0/24 -j DROP (添加規則,所有來自這個網段的數據都丟棄)
#/etc/rc.d/init.d/iptables save (保存規則)
#service iptables restart (重啟iptables服務以便升效)
5. 如何在Linux上高效阻止惡意IP地址
在Linux中,只要藉助netfilter/iptables框架,就很容易實現阻止IP地址這一目的:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要禁止某一整個IP地址區段,也能同樣做到這一點:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
不過,要是你有1000個沒有共同CIDR(無類別域間路由)前綴的獨立IP地址想要禁止訪問,該如何是好?那你就要設定1000個iptables規則!很顯然這種方法不具有良好的擴展性。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
何謂IP集?
這時候,IP集(IP set)就能派得上大用場。IP集是一種內核功能,允許多個(獨立)IP地址、MAC地址或者甚至多個埠號高效地編碼並存儲在比特圖/散列內核數據結構裡面。一旦創建了IP集,就能創建與該集匹配的iptables規則。
你應該會立馬看到使用IP集帶來的好處,那就是你只要使用一個iptables規則,就能夠與IP集中的多個IP地址進行匹配!你可以結合使用多個IP地址和埠號來構建IP集,還可以用IP集動態更新iptables規則,對性能根本沒有任何影響。
將IPset工具安裝到Linux上
想創建並管理IP集,你就需要使用一種名為ipset的用戶空間工具。
想將ipset安裝到Debian、Ubuntu或Linux Mint上:
$ sudo apt-get install ipset
想將ipset安裝到Fedora或CentOS/RHEL 7上:
$ sudo yum install ipset
使用IPset命令禁止IP地址
不妨讓我通過幾個簡單的例子,具體介紹如何使用ipset命令。
首先,不妨創建一個新的IP集,名為banthis(名稱隨意):
$ sudo ipset create banthis hash:net
上述命令中的第二個變數(hash:net)必不可少,它代表了所創建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來存儲多個CIDR區段。如果你想在該集中存儲單個的IP地址,可以改而使用hash:ip類型。
一旦你創建了一個IP集,就可以使用該命令來檢查該集:
$ sudo ipset list
這顯示了可用IP 集的列表,另外還顯示了每個集的詳細信息,其中包括集成員。默認情況下,每個IP集可以最多含有65536個元素(這里是CIDR區段)。你只要在後面添加「maxelem N」選項,就可以調大這個極限值。
$ sudo ipset create banthis hash:net maxelem 1000000
現在不妨將IP地址區段添加到該集:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會發現,集成員已發生了變化。
$ sudo ipset list
現在可以使用該IP集來創建一個iptables規則了。這里的關鍵在於,使用「-m set --match-set 」這個選項。
不妨創建一個iptables規則,阻止該集中的所有那些IP地址區段通過埠80訪問網站伺服器。這可以通過這個命令來實現:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你想,還可以將特定的IP集保存到一個文件中,然後以後可以從該文件來恢復:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
在上述命令中,我試著使用destroy選項來刪除現有的IP集,看看我能不能恢復該IP集。
自動禁止IP地址
至此,你應該會看到IP集這個概念有多強大。仍然維持一份最新的IP黑名單可能是件麻煩又費時的活兒。實際上,現在外頭有一些免費服務或收費服務可以為你維護這些IP黑名單。另外,不妨看一下我們如何可以將可用IP黑名單自動轉換成IP集。
我暫且從免費或收費發布各種IP阻止列表的iblocklist.com獲取免費的IP列表。提供了P2P格式的免費版本。
我要使用一款名為iblocklist2ipset的開源python工具,這個工具可以將P2P版本的iblocklist轉換成IP sets。
首先,你需要安裝好pip(想安裝pip,請參閱這篇指導文章:http://ask.xmolo.com/install-pip-linux.html)。
然後安裝iblocklist2ipset,具體如下所示。
$ sudo pip install iblocklist2ipset
在Fedora之類的一些發行版上,你可能需要運行這個命令:
$ sudo python-pip install iblocklist2ipset
現在進入到iblocklist.com,獲取任何P2P列表URL(比如「level1」列表)。
然後將該URL粘貼到下面這個命令中:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt
在你運行上述命令後,你就創建了一個名為bandthis.txt的文件。如果你檢查其內容,就會看到類似以下的內容:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以使用ipset命令,就能輕松裝入該文件:
$ sudo ipset restore -f banthis.txt
現在,用下面這個命令檢查自動創建的IP集:
$ sudo ipset list banthis
截至本文截稿時,「level1」阻止列表含有237000多個IP地址區段。你會發現,許多IP地址區段已經被添加到了IP集中。
最後,只需創建一個iptables規則,就能阻止所有這些地址!
6. linux系統禁止某IP訪問的問題
通過配置/etc/hosts.allow
和/etc/hosts.deny就可以實現
規則會先匹配hosts.allow,後hosts.deny
如果hosts.allow匹配,忽略hosts.deny
格式兩個都一樣。
ALL:IP地址
如
ALL:192.168.1.3
7. linux中如何限制IP訪問伺服器
在伺服器上進行如下命令操作進行規則設置即可:
#iptables -AINPUT-s ip段/網路位數 -j DROP
例如:禁止172.16.1.0/24網段訪問伺服器,直接在伺服器上用命令就可以實現
#iptables -AINPUT-s 172.16.1.0/24 -j DROP (添加規則,所有來自這個網段的數據都丟棄)
#/etc/rc.d/init.d/iptables save (保存規則)
#service iptables restart (重啟iptables服務以便生效)
8. 本機為linux系統,如何禁止本機訪問指定ip
在防火牆中添加規則就可以。
9. linux 如何禁止IP訪問http伺服器
Linux系統中,如果需要禁止特定ip地址訪問來保證系統的安全,只需通過操作iptalbes來實現,下面就給紹下Linux如何禁止某個ip地址訪問。
一、概述
這兩個文件是tcpd伺服器的配置文件,tcpd伺服器可以控制外部IP對本機服務的訪問。這兩個配置文件的格式如下:
#服務進程名:主機列表:當規則匹配時可選的命令操作
server_name:hosts-list[:command]
/etc/hosts.allow控制可以訪問本機的IP地址,/etc/hosts.deny控制禁止訪問本機的IP。如果兩個文件的配置有沖突,以/etc/hosts.deny為准。
/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的,可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
比如SSH服務,通常只對管理員開放,那就可以禁用不必要的IP,而只開放管理員可能使用到的IP段。
二、配置
1、修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
all:218.24.129.110 #表示接受110這個ip的所有請求!
in.telnetd:140.116.44.0/255.255.255.0
in.telnetd:140.116.79.0/255.255.255.0
in.telnetd:140.116.141.99
in.telnetd:LOCAL
smbd:192.168.0.0/255.255.255.0 #允許192.168.0.網段的IP訪問smbd服務
#sendmail:192.168.1.0/255.255.255.0
#pop3d:192.168.1.0/255.255.255.0
#swat:192.168.1.0/255.255.255.0
pptpd:all EXCEPT 192.168.0.0/255.255.255.0
httpd:all
vsftpd:all
以上寫法表示允許210和222兩個ip段連接sshd服務(這必然需要hosts.deny這個文件配合使用),當然:allow完全可以省略的。
ALL要害字匹配所有情況,EXCEPT匹配除了某些項之外的情況,PARANOID匹配你想控制的IP地址和它的域名不匹配時(域名偽裝)的情況。
2、修改/etc/hosts.deny文件
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the 『/usr/sbin/tcpd』 server.
#
# The portmap line is rendant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
in.telnet:ALL
ALL:ALL EXCEPT 192.168.0.1/255.255.255.0,192.168.1.21,
202.10.5.0/255.255.255.0
注意看:sshd:all:deny表示拒絕了所有sshd遠程連接。:deny可以省略。
3、啟動服務。
注意修改完後:
#service xinetd restart
才能讓剛才的更改生效。