使用ipset设置防火墙端口白名单|只让指定国家访问

tengxunyun cera

说明:博主很早前发过VPS一键屏蔽指定国家IP的教程,查看:Linux VPS一键屏蔽指定国家所有的IP访问,这对于我们阻止某个国家访问网站和CC攻击还是很有用的,不过鉴于很多人需要白名单设置方法,博主研究了下,发现也可以用ipset来完成,这里就说下,目前测试是没问题的。

方法

首先需要得到国家IP段,下载地址:http://www.ipdeny.com/ipblocks/。这里以我们国家为例。

1、安装ipset

#Debian/Ubuntu系统
apt-get -y install ipset

#CentOS系统
yum -y install ipset

CentOS 7还需要关闭firewall防火墙:

systemctl stop firewalld.service
systemctl disable firewalld.service

2、创建规则

#创建一个名为cnip的规则
ipset -N cnip hash:net
#下载国家IP段,这里以中国为例
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#将IP段添加到cnip规则中
for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done

3、设置IP段白名单

#放行IP段
iptables -A INPUT -p tcp -m set --match-set cnip src -j ACCEPT
#关掉所有端口
iptables -P INPUT DROP

这时候就只有指定国家的IP能访问服务器了。

如果你在国内,网站不允许被国内人访问,建议别关所有端口,这样你的SSH会上不去,我们可以只关闭80/443端口。

#关闭指定端口,比如80/443
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP

这时候其他国家的IP是无法访问你服务器的80/443端口,等于无法访问你的网站,其它端口还是可以访问的。

4、删除规则

#将参数里的-A改成-D就是删除规则了,如
iptables -D INPUT -p tcp -m set --match-set cnip src -j ACCEPT
iptables -D INPUT -p tcp --dport 443 -j DROP

说明

设置防火墙后,可能有些服务器重启系统后会清空防火墙规则,导致设置的失效,所以我们设置规则后,需要使用iptables命令保存下,保存命令可能在很多系统中都不通用,这里就不说了,需要各位自行搜索解决了,有耐心的也可以每次重启的时候都重新设置一下防火墙。

cera aliyun tengxunyun cloudiplc

相关推荐

Tokyonline测评|优惠码|日本东京|KDDI|VPS

日本商家 #Tokyonline#今天在TG发来了最新OFF,他家销售日本东京So-Net小鸡补货了,原生IP和大流量是卖点,最低配2核,4G内存,80G  HDD硬盘,15T流量@400M带宽,月付$117.85美元,索尼So-Net旗下的nuro,路由也优化了,国内过去,电信和联通去程都走IIJ,回程都走#KDDI#,而移动去程绕美#PCCW#,回程走twgate,直连的话,电信联通可以食用,当然做落地也是挺香的,毕竟是纯日本原生IP,所以基本就是全解锁日本的资源了,什么煤炉啊,dmm,niconico,abematv等,以及各种手游啊,适合对流量和IP有需求的朋友。对国人友好,支持支付宝和国内信用卡,IP暂时可以解锁日本所有资源,有需要自己考虑,具体请查看 Offer: KDDI – Pro CPU:2 vCPU 内存:4GB RAM 硬盘:50GB SAS-HDD 带宽流量:25T Transfer Data 300Mbps Port Speed 价格:19800.00 JPY/ Month 购买链接 系统配置信息 CPU Model : Intel Xeon E3-12xx v2 (Ivy Bridge, IBRS) CPU Cores : 2 Cores 2499.998 MHz x86_64 CPU Cache : 4096 KB OS : Debian GNU/Linux 10 (64 Bit) KVM …

misaka测评|优惠码|南非|约翰内斯堡|VPS|测评记录

misaka.io 南非约翰内斯堡 VPS 测评记录 #misaka#.io 国人知名商家,采用自研面板,技术能力较为出众。本次测试使用的是 misaka 核心区域南非约翰内斯堡 VPS 进行。 配置价格 系统信息 -> System Information OS Release: Debian GNU/Linux “Buster” 10.9 (x86_64) CPU Model: Intel Xeon Processor (Skylake, IBRS) 2.69 GHz CPU Cache Size: 16384 KB CPU Number: 1 vCPU Virt Type: KVM Memory Usage: 118.80 MB / 975.59 MB Swap Usage: [ No Swapfile …

DedicatedSolution测评|优惠码|香港CMI

DedicatedSolution 香港 CMI 线路独服测试记录 Offer 信息 CPU:E3 1260L 内存:16GB DDR3 ECC 硬盘:240GB SATA SSD 带宽:#50Mbps# CMI IP:1 IPv4 价格:390.00CNY/Monthly + 50 CNY Setup fee 直达链接 额外带宽:950CNY/100M 额外 IP:1USD/1 IPv4 系统信息 -> System Information OS Release: CentOS Linux 7.4.1708 (x86_64) CPU Model: Intel(R) Xeon(R) CPU E31260L @ 2.40GHz 1.61~2.46 GHz CPU Cache Size: 8192 KB CPU …

lcloud测评|优惠码|零云沪港|IPLC|灵车测评

lcloud.net 零云沪港 IPLC 灵车测评 国内商家 UOVZ 发布了新的 offer,子品牌零云(www.lcloud.net)上架了#沪港# IPLC 灵车 Offer 祝大家六一儿童节快乐。 开个儿童节灵车吧 https://www.lcloud.net/cart?fid=2&gid=1 沪港 IPLC NAT,儿童节敏感期可用,以后可能所有的灵车产品均在此站发布。 要实名 要绑手机 系统信息 -> System Information OS Release: CentOS Linux 7.8.2003 (x86_64) CPU Model: Intel(R) Xeon(R) CPU E5-2697 v2 @ 2.70GHz 2.69 GHz CPU Cache Size: 16384 KB CPU Number: 1 vCPU Virt Type: KVM Memory Usage: 94.66 …

微信扫一扫,分享到朋友圈

使用ipset设置防火墙端口白名单|只让指定国家访问