Cómo bloquear ataques maliciosos a direcciones IP de forma masiva en Linux

Instalación:

El método más sencillo es yum install, pero este método tiene una versión inferior y al módulo utilizado le faltan algunos parámetros, etc., por lo que no es recomendado

yum install ipset -y

Compilación e instalación:

1. Dependencias:

yum install libmnl libmnl-devel kernel. - devel libtool-devel -y

(Método de instalación para versiones más recientes: git pullgit://git.netfilter.org/libmnl. git run ./autogen.sh)

（ Nota: Si solo está instalado libmnl, se producirá el siguiente error:

Comprobar libmnl... configurar: error: Requisito de paquete no cumplido (libmnl >= 1):

No localizar el paquete 'libmnl'

Si

instaló software con un prefijo no estándar, considere ajustar la variable de entorno PKG_CONFIG_PATH

Alternativamente, puede configurarlo. variables de entorno libmnl_CFLAGS

y libmnl_LIBS para evitar llamar a pkg-config

Consulte el manual de pkg-config

)

Si

instale software en un prefijo no estándar, puede haber problemas con la variable de entorno /lib_PATH.

Consulte la página de manual de pkg-config para obtener más información.

Al compilar, es posible que se le solicite que busque /lib/modules/2.6.32-431.el6.x86_64/source

Después de solucionar algunos problemas, descubrí que el enlace suave/ lib/modules/2.6.32-431.el6.x86_64/build-->/usr/src/kernels /2.6.32-431.el6.x86_64 no existe

Solución: restablecer el conexión suave

ln -sb /usr/src/kernels/2.6.32-573.3.1.el6.x86_64 /lib/modules/2.6.32-431.el6.x86_ 64/build

Ejecutar.

Error al ejecutar .autogen.sh:

No se puede encontrar /usr/share/libtool/

Solución: instalar libtool-devel Paquete de herramientas yum install libtool-devel

2. Código fuente (versión >= 2.6.32))

./autogen.sh

./configure

hacer

hacer módulos

hacer instalar

hacer módulos_instalar

Nota: Diferentes kernels de Linux usan diferentes versiones Fuente code

Nota: código fuente del kernel de Linux (versión >= 2.6.16 o >= 2.4.36)

Compilar e instalar:

make KERNEL_DIR =/ lib/modules/$(shell uname -r)/build #$(shell uname -r) Usar comando de shell

make KERNEL_DIR=/lib/modules/$(shell uname -r)/build install

Comandos comunes:

ipset list Ver información de la lista de configuración de IP

ipset add pythontab X.X.X.X Agregar una dirección IP en ip set pythontab

ipset add pythontab X.X.X.X/24 Agregar un segmento de red al conjunto de IP pythontab

ipset dell pythontab p>

ipset save pythontab -f pythontab.txt guarda la información en el conjunto de IP pythontab en pythontab. txt en el directorio de archivos actual

ipset destroy pythontab elimina el conjunto de IP especificado pythontab

ipset recovery -f pythontab.txt Vuelve a importar la información del conjunto de IP desde el pythontab guardado .txt a ipset

ipset recovery -f pythontab.txttxt Vuelva a importar la información del conjunto de IP desde el archivo pythontab.txt guardado a ipset

Para comandos adicionales, consulte los siguientes comandos : ipset -- ayuda

referencia del comando iptable:

iptables -I ENTRADA -m set --match-set pythontab src -p tcp --destination-port 80 -j D

ROP #Prohibir el acceso a la IP de ipset en el puerto 80 del servidor Establecer la dirección en pythontab

servicio iptables guardar

servicio iptables reiniciar

Deshabilitar automáticamente el. Dirección IP

Ahora deberías ver el poder de la configuración de IP. Mantener una lista negra de IP es una tarea tediosa y que requiere mucho tiempo. De hecho, existen muchos servicios gratuitos o de pago que pueden hacer el trabajo por usted. Como beneficio adicional, veamos cómo agregar automáticamente una lista negra de IP a su configuración de IP.

Primero, tomemos una lista negra gratuita de iblocklist.com

A continuación, usaré una herramienta Python de código abierto llamada iblocklist2ipset para convertir la lista negra en un conjunto de IP.

Primero, necesitas instalar pip

Utiliza el siguiente comando para instalar iblocklist2ipset:

$ pip install iblocklist2ipset

En algunas distribuciones ( (como Fedora), es posible que necesites ejecutar:

$ python-pip install iblocklist2ipset

Ahora visita iblocklist.com y obtén la URL de cualquier lista P2P (como la lista "nivel1").

Descárguelo y descomprímalo, luego guárdelo como un archivo txt, por ejemplo llamado pythontab.txt, porque iblocklist2ipset solo admite la obtención de la URL de la lista, así que coloque pythontab.txt en cualquier directorio de su sitio web. Abajo. Por ejemplo: directorio ipset

$ iblocklist2ipset generate --ipset pythontab "/ipset/pythontab.txt" > pythontab.txt

Después de ejecutar el comando anterior, obtendrá un archivo llamado archivo pythontab.txt. Si observa su contenido, verá algo como esto:

Puede cargar el archivo usando el siguiente comando ipset:

$ ipset restablecimiento -f pythontab.txt

Ahora puede ver los conjuntos de IP creados automáticamente:

$ ipset list pythontab

Esto le ahorra la molestia de administrarlos manualmente.

Tenga en cuenta que la versión instalada usando yum en centos no es la última versión y es posible que no admita el parámetro -f para importar archivos de la lista negra, por lo que se recomienda utilizar el paquete de software fuente para instalar la última versión

.