English |
  • 美国VPS主机推荐
    • |
  • 代购服务
    • |
  • 10美元以下VPS
    • |
  • VPS新手指南/教程
    • |
  • 留言板
    • |
  • 关于
    • | 登录 |

    用 iptables 屏蔽来自某个国家的 IP

    2010年08月26日 下午 | 作者:VPS侦探

    星期六我们一位客户受到攻击,我们的网络监测显示有连续6小时的巨大异常流量,我们立即联系了客户,没有得到回应,我们修改和限制了客户的 VPS,使得个别 VPS 受攻击不会对整个服务器和其他 VPS 用户造成任何影响,我们一直保持这个 VPS 为开通状态(尽管一直受攻击),攻击又持续了24小时,星期天攻击仍在继续,我们忍无可忍,但是仍然无法联系到客户,我们向客户网站的另一负责人询问是否需要我们介入来帮助解决,这位负责人答应后我们立即投入到与 DDoS 的战斗中(我们动态扫描屏蔽坏 IP,现在客户网站已恢复。整个过程很有意思,以后有时间再写一篇博客来描述)。登录到客户 VPS 第一件事情就是查当前连接和 IP,来自中国的大量 IP 不断侵占80端口,典型的 DDos. 所以第一件事是切断攻击源,既然攻击只攻80端口,那有很多办法可以切断,直接关闭网站服务器、直接用防火墙/iptables 切断80端口或者关闭所有连接、把 VPS 网络关掉、换一个 IP,⋯,等等。因为攻击源在国内,所以 VPSee 决定切断来自国内的所有访问,这样看上去网站好像是被墙了而不是被攻击了,有助于维护客户网站的光辉形象。那么如何屏蔽来自某个特定国家的 IP 呢?

    方法很容易,先到 IPdeny 下载以国家代码编制好的 IP 地址列表,比如下载 cn.zone:

    # wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone

    有了国家的所有 IP 地址,要想屏蔽这些 IP 就很容易了,直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中:

    #!/bin/bash
# Block traffic from a specific country
# written by vpsee.com

COUNTRY="cn"
IPTABLES=/sbin/iptables
EGREP=/bin/egrep

if [ "$(id -u)" != "0" ]; then
   echo "you must be root" 1>&2
   exit 1
fi

resetrules() {
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
}

resetrules

for c in $COUNTRY
do
        country_file=$c.zone

        IPS=$($EGREP -v "^#|^$" $country_file)
        for ip in $IPS
        do
           echo "blocking $ip"
           $IPTABLES -A INPUT -s $ip -j DROP
        done
done

exit 0

    好 IP 和坏 IP 都被屏蔽掉了,这种办法当然不高明,屏蔽 IP 也没有解决被攻击的问题,但是是解决问题的第一步,屏蔽了攻击源以后我们才有带宽、时间和心情去检查 VPS 的安全问题。公布一份我们客户被攻击的网络流量图,在18点到0点所有带宽都被攻击流量占用,这时候客户无法登录 VPS,访问者也无法访问网站:

    转载自:http://www.vpsee.com/2010/08/block-traffic-from-a-specific-country-using-iptables/

    >>转载请注明出处:VPS侦探 本文链接地址:https://www.vpser.net/security/iptables-block-countries-ip.html

    相关文章:

    发表评论(28条评论) 分类:VPS安全 标签: , ,

    VPS侦探推荐:
    遨游主机VultrLinode搬瓦工LOCVPSKVMLAHOSTKVMHostXen80VPS美国VPS主机,国内推荐腾讯云阿里云
    欢迎加入VPS侦探论坛交流:https://bbs.vpser.net

    发表评论

    *必填

    *必填 (不会被公开)

    评论(28条评论)

    1. abiao说道:
      2012年08月23日 05:26

      iptables -X 以后老是出现服务器断线了,要怎么处理?现在搞这个命令都搞得有点怕了

    2. jesse说道:
      2011年10月3日 22:02

      你也是一样的执行方式?

    3. jesse说道:
      2011年10月3日 18:21

      你也是一位这样执行吗?

    4. VPSer说道:
      2011年09月28日 17:55

      @jesse, 我这边试了没问题

    5. jesse说道:
      2011年09月28日 11:50

      军哥帮测试下

    6. jesse说道:
      2011年09月27日 14:22

      [root@S04001011702AX ~]# sh cn.sh
      cn.sh: line 5: COUNTRY: command not found
      cn.sh: line 6: IPTABLES: command not found
      cn.sh: line 7: EGREP: command not found
      cn.sh: line 15: -F: command not found
      cn.sh: line 16: -t: command not found
      cn.sh: line 17: -t: command not found
      cn.sh: line 18: -X: command not found

    7. VPSer说道:
      2011年09月27日 14:12

      @jesse, 直接vi或nano,下载后再当前你所在的目录。

    8. jesse说道:
      2011年09月27日 13:29

      用txt保存为sh?然后 执行?而下载的那个文件放在那个路径?

    9. VPSer说道:
      2011年09月27日 13:22

      @jesse, 下面不是有脚本,执行以下脚本不就行了。

    10. jesse说道:
      2011年09月27日 13:11

      wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
      有了国家的所有 IP 地址,要想屏蔽这些 IP 就很容易了,直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中:

      不是好明白

    11. jesse说道:
      2011年09月27日 13:03

      怎么调用?

    12. VPSer说道:
      2011年09月27日 12:27

      @jesse, 这个和你用什么系统没一点关系,只是一个iptables的使用。

    13. jesse说道:
      2011年09月27日 11:50

      有没详细说明?有点看不懂,VZ内核的C系统 .

    14. 海通证券大智慧说道:
      2011年04月13日 09:59

      我现在就想封的就是美国的IP

    15. VPSer说道:
      2010年08月27日 14:52

      @deardongdong, 被攻击一直是个不好解决的问题。

    16. deardongdong说道:
      2010年08月27日 10:38

      这个成问题啊。