Linux如何屏蔽国外IP-宝塔如何屏蔽国外IP-appnode如何屏蔽国外IP

少羽.
少羽.
少羽.
429
文章
88
评论
2019年6月21日14:52:17 评论 10,824 2375字阅读7分55秒
广告也精彩

前言

自己做了个论坛,论坛里面发了一个cc工具,有人用我发的工具打我论坛,都是国外流量,很强的,基本秒杀我,当时没有做策略服务器硬抗,只是变慢了。

最后换到appnode控制面板,因为我记得这个控制面板免费版还不错有个策略防护挺好的。

换到APPnode之后,反而被打到500。然后通过百度找到这篇文章

《一次很奇葩的 Nginx 500 Internal Server Error》

然后查看appnode原来appnode防cc用的是lua支持模块

找到原因,开始处理。

正文

对NGINX折腾发现很难,于是想到奇葩的解决方法

我直接屏蔽国外吧,这样就不会被打到500(手动滑稽)

然后百度找了很多文章,我靠这些ip段好老,而且很多,直接白名单国内吧,然后找到一个

https://github.com/17mon/china_ip_list  好像是每月更新一次还不错

因为这篇文章主要还是说Linux如何屏蔽国外上面这个 可以用控制面板的黑名单直接拉黑

appnode 可以Linux如何屏蔽国外IP-宝塔如何屏蔽国外IP-appnode如何屏蔽国外IP

宝塔没看见可以直接屏蔽或者白名单某个ip段或者其他,可以屏蔽指定ip

Linux如何屏蔽国外IP-宝塔如何屏蔽国外IP-appnode如何屏蔽国外IP

宝塔用户可以看看接下来的

介绍ipset

ipset 是 iptables 的扩展,它允许你创建匹配整个 IP 地址集合的规则。可以快速的让我们屏蔽某个 IP 段。这里分享一个屏蔽指定国家的 IP 访问的方法和一个屏蔽国外 IP 访问(仅允许国内 IP 访问)的方法,当我们遇到 CC 攻击,可以尝试选择和使用能有所缓解。

首先需要得到国家 IP 段,下载地址:http://www.ipdeny.com/ipblocks/。这里以我们国家为例。

安装ipset

#Debian/Ubuntu系统
apt-get -y install ipset

#CentOS系统
yum -y install ipset

创建规则

#创建一个名为cnip的规则
ipset -N cnip hash:net
#下载国家IP段
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone  这里是中国的
#将IP段添加到cnip规则中
for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done

开始屏蔽

iptables -I INPUT -p tcp -m set --match-set cnip src -j DROP

解除屏蔽

#-D为删除规则
iptables -D INPUT -p tcp -m set --match-set cnip src -j DROP

仅允许国内 IP 访问

注意:此方法仅在 CENTOS 6 下调试通过。

运行下面的命令获取国内 IP 网段,会保存到 /root/china_ssr.txt

wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt

将下面脚本的完整代码保存为 /root/allcn.sh

mmode=$1
 
#下面语句可以单独执行,不需要每次执行都获取网段表
#wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt

CNIP="/root/china_ssr.txt"
 
 
gen_iplist() {
        cat <<-EOF
                $(cat ${CNIP:=/dev/null} 2>/dev/null)
EOF
}
 
flush_r() {
iptables  -F ALLCNRULE 2>/dev/null
iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
iptables  -X ALLCNRULE 2>/dev/null
ipset -X allcn 2>/dev/null
}
 
mstart() {
ipset create allcn hash:net 2>/dev/null
ipset -! -R <<-EOF 
$(gen_iplist | sed -e "s/^/add allcn /")
EOF
 
iptables -N ALLCNRULE 
iptables -I INPUT -p tcp -j ALLCNRULE 
iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
#可在此增加你的公网网段,避免调试ipset时出现自己无法访问的情况

iptables -A ALLCNRULE -m set --match-set allcn  src -j RETURN 
iptables -A ALLCNRULE -p tcp -j DROP 
 
 
}
 
if [ "$mmode" == "stop" ] ;then
flush_r
exit 0
fi
 
flush_r
sleep 1
mstart

设置可执行权限

chmod a+x /root/allcn.sh

管理命令

/root/allcn.sh

运行后国外 IP 无法访问网站

/root/allcn.sh stop

运行后国外 IP 恢复访问网站

总结

屏蔽国外ip对网站是有一定好处,如果你的网站是有一定国外用户,那就不要去屏蔽,一般情况,是不会有国外用户,国外的ip一般都是对你网站进行漏洞扫描等其他操作,屏蔽后对网站也有一定好处。

继续阅读
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
广告也精彩
少羽.
  • 本文由 发表于 2019年6月21日14:52:17
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
Linux入侵检测基础 | 乌云知识库 技术园

Linux入侵检测基础 | 乌云知识库

0x00 审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就将/var/log/wtmp文件格式化输出。 lastb:这个命令...
网站渗透攻防Web篇之SQL注入攻击高级篇 技术园

网站渗透攻防Web篇之SQL注入攻击高级篇

前言 前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御。有攻必有防,当然还要来探讨一下SQL注入防御技巧。 网站渗透攻防Web篇之SQL注入...
网站渗透攻防Web篇之SQL注入攻击中级篇 技术园

网站渗透攻防Web篇之SQL注入攻击中级篇

前言 回顾前文:网站渗透攻防Web篇之SQL注入攻击初级篇 找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了...
WordPress速度优化-Nginx fastcgi_cache缓存加速 技术园

WordPress速度优化-Nginx fastcgi_cache缓存加速

高并发网站架构的核心原则其实就一句话“把所有的用户访问请求都尽量往前推“,即:能缓存在用户电脑本地的,就不要让他去访问CDN。 能缓存CDN服务器上的,就不要让CDN去访问源(静态服务器)了。能访问静...
广告也精彩
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: