kwi*_*and 6 firewall iptables block
这个问题显然以许多不同的形式被问过很多次,但我找不到我所拥有的具体计划的实际答案。我们经营着一个受欢迎的欧洲商业交易网站,并且从甚至无法参与我们提供的交易的国家/地区获得大量传入注册/流量(并且许多零售商甚至在西欧以外都不为人所知)。
我已经确定了阻止大量此类流量的问题区域,但是(正如预期的那样)需要数千个 IP 范围。
我现在的问题(终于!)。在测试服务器上,我创建了一个脚本来阻止 iptables 内的每个范围,但是添加规则所花费的时间很长,然后 iptables 在此之后没有响应(尤其是在尝试 iptables -L 时)。
阻止大量 IP 范围的最有效方法是什么:
小智 3
据我了解,问题不在于从哪里获取需要阻止的 IP 地址列表,而在于如何使用 iptables 有效地阻止它们。执行一系列“iptables -A”命令的脚本将花费很长时间来加载规则,并且在此期间防火墙以不一致的策略运行。这对其性能也有重大影响。
我建议你尝试模块 ipset ( http://ipset.netfilter.org/ )。它允许您直接操作地址块表,您只需要一个 iptables 规则来匹配整个集合。您需要尝试不同类型的组,以找到一种能够容纳您需要阻止的 IP 地址块数量并为您提供所需性能的组。无论如何,它在匹配长地址块列表方面要好得多,并且允许您使用命令行工具重新加载它,而无需触及规则。
请注意,并非所有 Linux 发行版的默认配置中都包含 ipset,因此您可能需要重新编译内核模块和 iptable。
国家/地区地址块会不时发生变化,因此您需要定期更新您的地址集。要重新加载已使用的集,您可以使用命令行工具“ipset”,并且可以轻松地将其包装在 shell 脚本中以自动化该过程。或者您可以使用 fwbuilder 生成 iptables 策略并使用它生成的脚本来管理 ipset(http://www.fwbuilder.org/4.0/docs/users_guide/address-table-object.html,请参阅“5.2. 13.1. 将地址表对象与 iptables IP 集一起使用(本章中)
| 归档时间: |
|
| 查看次数: |
5729 次 |
| 最近记录: |