iptables封掉少量ip处理是没什么问题的,但是当有大量ip攻击的时候性能就跟不上了,iptables是O(N)的性能.而ipset就像一个集合,把需要封闭的ip地址放入这个集合中,ipset 是O(1)的性能,用的hash方式所以特别快. 一.软件及安装 1.iptables(一般linux都已经安装好的) 2.ipset: ubuntu:apt-get install ipset 二.ipset的使用 1.查看ip集的列表信息 ipset list 2.创建ip集 ipset creat…

转载于互联网     iptables直接针对ip进行封禁,在ip数量不大的时候是没什么问题的,但当有大量ip的时候性能会严重下降,iptables是O(N)的性能.而ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题. 1. 如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可 )安装ipset. yum install ipset -y 2.ip…

Iptables DDOS/CC 自动屏蔽脚本 May 20, 2013 最近不停地被 CC (DDOS的一种)频繁干扰,分享一个 iptables 屏蔽 DDOS 的脚本.让 crond 每分钟运行一次. ############### KILL DDOS ############## iptables_log="/data/logs/iptables_conf.log" ### Iptables 配置导出的路径,可任意修改 ### #########################…

首先介绍软件,Youtube-dl可以下载网页的视频,功能很强大. 但遇到分段视频不能合并,遇到视频音频分开播放的网站也没办法合并视频音频,所以 需要用ffmpeg来配合的合并视频.合并过程是无损的,不用担心.自动操作,不用自己动手. 但Youtube-dl还有个缺点,就是下载时单线程.简直就是龟速,下载视频往往还比较大,单线程是不可能使用的. 所以需要aria2来使用多线程. 一.安装python环境,官网 https://www.python.org/,下载最新版本. 安装时记得添加环境.…

iptables自动屏蔽访问网站频繁的IP 屏蔽每分钟访问超过200的IP 方法1:根据访问日志(Nginx为例 #!/bin/bash DATE=$(date +%d/%b/%Y:%H:%M) ABNORMAL_IP=$(tail -n5000 access.log |grep $DATE |awk '{a[$1]++}END{for(i in a)if(a[i]>100)print i}') #先tail防止文件过大,读取慢,数字可调整每分钟最大的访问量.awk不能直接过滤日志,因为包含特殊…

转自:http://www.jianshu.com/p/28b8536a6c8a 环境: CentOS 6 shadowsocks iptables 在安装了ss-bash后,ss-bash每添加一次port就会在iptables中的SSOUTPUT和SSINPUT中添加相对应的port作为ACCEPT,所以我们只需保留部分必备port,将其他端口DROP就可以了. 初始化: 首先进行一些初始化,清空所有现有的规则:iptables -F #清空所有链iptables -X #清空所有自定义链…

以下是本人配置Teamcity具体环境和步骤,只实现了项目发布,打包.Nodejs npm gulp没有配置成功,后期补上. 1 环境安装 本人使用的是windows7 sp1 64位系统,(.net framework 4.5.2) 1.1 Teamcity 安装 下载地址:http://www.jetbrains.com/teamcity/download/ 这里我们选择windows版本 安装文件:TeamCity-10.0.3.exe. 双击开始安装,下一步直到结束,安装成功后,默认80…

2013年的脚本,今天拿出来备份一下. vim /root/secure_ssh.sh #!/bin/bash cat /var/log/auth.log|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /tmp/blackIP.txt TRYCOUNT=" for i in `cat /tmp/blackIP.txt` do IP=`echo $i |awk -F= '{print…

ipset是什么? ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则.而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/ 1.ipset安装 yum安装: yum install ipset 源代码安装:…

简介: ipset是iptables的扩展,允许你创建匹配整个地址sets(地址集合)的规则.而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种集合比较大也可以进行高效的查找.在许多的linux发布中ipset是一个简单的安装包,可以通过linux发行版提供的yum进行安装.   格式:ipset-6.11版本 显示已有列表:  ipset list   创建列表    :  ipset create 表名 hash:net或者hash:ip  hashsi…

原文:http://bbs.kafan.cn/thread-1754676-1-1.html KeePass的优势:1.这是一款完全开源的密码管理器2.很多人都使用lastpass来保存密码,而这种严重依赖于服务器的密码管理工具一旦离开网络你还能用吗?你还能找到你的密码吗?而KeePass密码文件是以本地方式保存,完全脱离服务器,也不会保存在别人的服务器上,关键文件掌握在自己手里比掌握在别人手里更安全和放心,当然你也可以把密码文件单独上传到网盘里保存,也可以保存在你的FTP服务器实现同步,具体看…

ipset是什么? ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则.而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/ 1.ipset安装 yum安装: yum install ipset 源代码安装:…

ipset介绍 ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则.而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/ 1.ipset安装 yum安装: yum install ipset 2.创建一个ip…

原文:http://www.xuebuyuan.com/730127.html iptables的使用参见http://wiki.ubuntu.org.cn/IptablesHowTo iptables配置完成后,规则是自动立即生效的,但是机器重启动后,规则会丢失 ubuntu下可以通过以下步骤保存iptables设置,并实现开机自动加载 1.iptables配置完成后手动保存 执行iptables-save > /etc/iptables.rules ,将当前配置保存再iptables.rul…

ipset介绍 ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则.而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置. 创建ipset:ipset -n或者ipset create ipset -n,create SETNAME TYPENAME SETNAME是创…

本文档对于docker环境下并不适用,docker环境的iptables持久化请参考https://www.cnblogs.com/wiseo/p/15000745.html 添加iptables规则后使用以下命令进行规则持久化 sudo iptables-save > /home/<用户名>/iptables 设定开机自动恢复iptables规则 # 在开机启动脚本最后添加恢复规则命令 $ sudo vi /etc/rc.d/rc.local cd /home/<用户名>/…

使用 iptables 封 IP,是一种比较简单的应对网络攻击的方式,也算是比较常见.有时候可能会封禁成千上万个 IP,如果添加成千上万条规则,在一台注重性能的服务器或者本身性能就很差的设备上,这就是个问题了.ipset 就是为了避免这个问题而生的. 关于 iptables,要知道这两点. iptables 包含几个表,每个表由链组成.默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是 nat 表.一般封 IP 就是在 filter 表的 INPUT 链添加规则. 在…

和H3C中的acl很像,或者就是一会事,这就是不知道底层的缺陷,形式一变,所有的积累都浮云了 参考准确的说copy from http://www.ibm.com/developerworks/cn/linux/network/s-netip/,IBM伟大的公司,文章没有关于权限的琐碎声明,话说回来,别人可读,就有权利粘贴,只要目的不脏 可以做什么:1,安全2,阻塞广告 1,网络中的位置 2,内核相关配置 CONFIG_PACKET : 如果要使应用程序和程序直接使用某些网络设备,那么这个选项是…

Linux 的防火墙:iptables iptables是封包过滤软件,Linux内核2.6以上都是这款软件.本节节选自 鸟哥的 Linux 私房菜 -- 服务器架设篇  第九章.防火墙与 NAT 服务器 封包进入流程:规则顺序的重要性! 假设你的 Linux 主机提供了 WWW 的服务,那么自然就要针对 port 80 来启用通过的封包规则,但是你发现 IP 来源为 192.168.100.100 老是恶意的尝试入侵你的系统,所以你想要将该 IP 拒绝往来,最后,所有的非 WWW 的封包都给他…

一iptables概念 防火墙分类 分为硬件防火墙和软件防火墙 硬件防火墙一般放在外网的最前面,公司的拓扑的最外面 iptables虽然称为防火墙,但是不能当做整个公司的出口防火墙,和动戈几千万,几百万的硬件防火墙还是不能相比的一般用来在公司的局域网做防护,还可以在服务器上做一些端口,流量,安全防护. 但是真的有人盯上了,当大流量打过来的时候,没有硬件高防设备来保护,还是会瘫痪的 iptables介绍 全称:netfilter/iptables:Ip信息包过滤系统,实际上由netfilter和i…

由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4.iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机本身的话,那 nat 的规则根本就不需要理他,直接设定为开放即可. 不过,如果你的防火墙事实上是用来管制 LAN 内的其他主机…

原文:https://www.jianshu.com/p/b221b790cb1e https://linux-audit.com/blocking-ip-addresses-in-linux-with-iptables/ iptables删除规则 So if you would like to delete second rule : iptables -D INPUT 2 ------------------------------ 如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从…

Iptables 指南 1.1.19 Oskar Andreasson oan@frozentux.net Copyright © 2001-2003 by Oskar Andreasson 本文在符合 GNU Free Documentation 许可版本1.1的条件下,可以拷贝.分发.更改,但必须保留绪言 和所有的章节,如印刷成书,封面要包括“原著:Oskar Andreasson”,且书背不准有文字.本文附录有 “GNU Free Documentation License”的详细内容.…

2.1 框架图 -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle nat | &2.1 框架图 -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle nat | filter | nat | | | | v | INPUT OUTPUT |…

学习一个服务的过程: 1.此服务器的概述:名字,功能,特点,端口号 2.安装 3.配置文件的位置 4.服务启动关闭脚本,查看端口 5.此服务的使用方法 6.修改配置文件,实战举例 7.排错(从下到上,从内到外) ------------------------------------- iptables概述 netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成. netfilter/iptables 关系: netfilt…

Linux 系统的防火墙功能是由内核实现的 2.0 版内核中,包过滤机制是 ipfw,管理工具是 ipfwadm 2.2 版内核中,包过滤机制是 ipchain,管理工具是 ipchains 2.4 版及以后的内核中,包过滤机制是 netfilter,管理工具是 iptables iptables 用户态 位于/sbin/iptables,是用来管理防火墙的命令工具 为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包   内核态 netfilter: 位于 Linux 内核…

构建多LAN口多WAN口动态网络 [目的] 在AM335X定制动态网络功能,如下所示,在系统当中有两个以太网口,有4G模块,有wifi芯片8188eu支持AP+STA功能. [实验环境] 1.  Ubuntu 16.04发行版 2.  MC183平台 3.  交叉编译器arm-linux-gnueabihf-gcc-4.7.3 [步骤] 如下案例,eth0,wlan0为LAN口,eth1,wlan1,eth2(4G)为WAN口 本地局域网的构建 可以通过brctl,创建虚拟网卡,将网口及WIFI…

转载Linux下使用 ipset 封大量IP及ipset参数说明 Linux使用iptables封IP,是常用的应对网络攻击的方法,但要封禁成千上万个IP,如果添加成千上万条规则,对机器性能影响较大,使用ipset能解决这个问题. iptables 包含几个表,每个表由链组成.默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是nat表,封IP就是在 filter 表的 INPUT 链添加规则.在进行规则匹配时,是从规则列表中从头到尾一条一条进行匹配.这像是在链表中搜索…

iptables & netfilter 1.简介 netfilter/iptables(下文中简称为iptables)组成Linux内核下的包过滤防火墙,完成封包过滤.封包重定向和网络地址转换(NAT)等功能.] iptabels其实不是真正的防火墙,netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间.iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架. Netfilter是Linux操作系统核心层内部的一个数据包处理…

Linux防火墙(iptables/firewalld) 目录 Linux防火墙(iptables/firewalld) 一.iptables 1. iptables概述 2. netfilter和iptables (1)netfilter (2)iptables (3)netfile/iptables 3. 四表五链 (1)四表 (2)五链 (3)规则表的匹配顺序 (4)规则链之间的匹配顺序 4. iptables的安装 5. iptables防火墙的配置 (1)命令行配置格式 (2)注意事项…