⑴ 如何在Linux上高效阻止惡意IP地址
使用iptables命令,就可以實現阻止IP地址,使用下面命令阻止一個IP:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
想要禁止某一整個IP地址區段,可以使用下面命令:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
iptables命令說明
iptables命令是Linux上常用的防火牆軟體,是netfilter項目的一部分。可以直接配置,也可以通過許多前端和圖形界面配置。
語法
iptables(選項)(參數)
選項
-t<表>:指定要操縱的表;
-A:向規則鏈中添加條目;
-D:從規則鏈中刪除條目;
-i:向規則鏈中插入條目;
-R:替換規則鏈中的條目;
-L:顯示規則鏈中已有的條目;
-F:清楚規則鏈中已有的條目;
-Z:清空規則鏈中的數據包計算器和位元組計數器;
-N:創建新的用戶自定義規則鏈;
-P:定義規則鏈中的默認目標;
-h:顯示幫助信息;
-p:指定要匹配的數據包協議類型;
-s:指定要匹配的數據包源ip地址;
-j<目標>:指定要跳轉的目標;
-i<網路介面>:指定數據包進入本機的網路介面;
-o<網路介面>:指定數據包要離開本機所使用的網路介面。
iptables命令選項輸入順序:
iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源埠 <-d 目標IP/目標子網> --dport 目標埠 -j 動作
表名包括:
raw:高級功能,如:網址過濾。
mangle:數據包修改(QOS),用於實現服務質量。
net:地址轉換,用於網關路由器。
filter:包過濾,用於防火牆規則。
規則鏈名包括:
INPUT鏈:處理輸入數據包。
OUTPUT鏈:處理輸出數據包。
PORWARD鏈:處理轉發數據包。
PREROUTING鏈:用於目標地址轉換(DNAT)。
POSTOUTING鏈:用於源地址轉換(SNAT)。
動作包括:
accept:接收數據包。
DROP:丟棄數據包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址轉換。
DNAT:目標地址轉換。
MASQUERADE:IP偽裝(NAT),用於ADSL。
LOG:日誌記錄。