黑龙江骏域建设网站专家,怎么在移动端网站下面做联系人,做网站需要套模板,基于lnmp做wordpress明月的服务器一直使用的是 iptables,随着近几年 IPv6 的普及#xff0c;明月切身体会到还是 IPSET 最方便了#xff0c;无论你是 IPv4 还是 IPv6 都可以方便的管理#xff0c;无论你是加入白名单还是黑名单#xff0c;都非常的简单高效#xff01;今天就参照明月自己的实操…明月的服务器一直使用的是 iptables,随着近几年 IPv6 的普及明月切身体会到还是 IPSET 最方便了无论你是 IPv4 还是 IPv6 都可以方便的管理无论你是加入白名单还是黑名单都非常的简单高效今天就参照明月自己的实操给大家分享一下。 IPSET 介绍
IPSET 是 iptables 的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的 iptables 链只能单 IP 匹配, ip 集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找除了一些常用的情况,比如阻止一些危险主机访问本机从而减少系统资源占用或网络拥塞,IPSET 也具备一些新防火墙设计方法,并简化了配置。
官网https://ipset.netfilter.org/
首先我们可以利用 IPSET 根据不同的 CDN 服务商来创建不同的合集set甚至可以区别 IPv4/IPv6 来创建不同的合集分别的用在 iptables 规则里。因为明月目前使用的是 CloudFlare奇安信网站卫士双 CDN 所以就以此为例来创建不同的 IPSET 合集。
ipset create QNX360 hash:net #创建奇安信网站卫士节点 IPv4 合集
ipset create CloudFlare hash:net #创建 CloudFlare 节点 IPv4 合集
ipset create CloudFlare6 hash:net family inet6 #创建 CloudFlare 节点 IPv6 合集
目前奇安信网站卫士只提供 IPv4 节点 IP所以只创建一个 IPv4 的QNX360合集即可。而 CloudFlare 的节点包含 IPv4/IPv6所以我们加了family inet6参数给 CloudFlare 的 IPv6 节点又创建一个CloudFlare6合集一共是三个合集。
考虑到大部分 CDN 节点 IP 数量都不少所以明月建议大家提前将 CDN 节点 IP 单独保存到文件进行导入可以减少出错的概率保证数据的准确性上述三个合集需要的 CDN 节点 IP 文件内容如下
奇安信网站卫士节点
add QNX360 183.146.28.0/24
add QNX360 123.6.81.0/24
CloudFlare 的 IPv4 节点
add CloudFlare 103.21.244.0/22
add CloudFlare 103.22.200.0/22
add CloudFlare 103.31.4.0/22
add CloudFlare 104.16.0.0/13
add CloudFlare 104.24.0.0/14
add CloudFlare 108.162.192.0/18
add CloudFlare 131.0.72.0/22
add CloudFlare 141.101.64.0/18
add CloudFlare 162.158.0.0/15
add CloudFlare 172.64.0.0/13
add CloudFlare 173.245.48.0/20
add CloudFlare 188.114.96.0/20
add CloudFlare 190.93.240.0/20
add CloudFlare 197.234.240.0/22
add CloudFlare 198.41.128.0/17
CloudFlare 的 IPv6 节点
add CloudFlare6 2400:cb00::/32
add CloudFlare6 2606:4700::/32
add CloudFlare6 2803:f800::/32
add CloudFlare6 2405:b500::/32
add CloudFlare6 2405:8100::/32
add CloudFlare6 2a06:98c0::/29
add CloudFlare6 2c0f:f248::/32
CloudFlare 节点 IP 来源https://www.cloudflare.com/zh-cn/ips/
上述三个合集的节点 IP 可以合并保存在一个.txt 文件里如ip.txt记得这里的 TXT 文件必须是纯文本编辑器以 UTF-8 编码保存哦不要用记事本不要用记事本不要用记事本重要的事儿说三遍因为每行都有 add 命令添加 IP 到各自的 IPSET 合集里所以保存到一个文件里是没有问题的我们只需要让 IPSET 导入这个 TXT 文件就可以了
ipset restore -f ip.txt #导入 ip.txt 里的节点到对应的 IPSET 合集里
ipset list #列出当前所有合集
可以看到如下的内容
Name: QNX360
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 592
References: 1
Number of entries: 2
Members:
183.146.28.0/24
123.6.81.0/24Name: CloudFlare
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 1424
References: 1
Number of entries: 15
Members:
103.22.200.0/22
131.0.72.0/22
197.234.240.0/22
108.162.192.0/18
172.64.0.0/13
190.93.240.0/20
198.41.128.0/17
141.101.64.0/18
104.16.0.0/13
162.158.0.0/15
104.24.0.0/14
173.245.48.0/20
103.21.244.0/22
188.114.96.0/20
103.31.4.0/22Name: CloudFlare6
Type: hash:net
Revision: 6
Header: family inet6 hashsize 1024 maxelem 65536
Size in memory: 2032
References: 1
Number of entries: 7
Members:
2a06:98c0::/29
2606:4700::/32
2405:8100::/32
2400:cb00::/32
2803:f800::/32
2c0f:f248::/32
2405:b500::/32
可以看到都已经导入到各个合集里了这时候我们就可以让 iptables 决定这些合集是加入白名单规则还是黑名单规则了具体白名单规则命令如下
iptables -A INPUT -p tcp -m set --match-set QNX360 src -m multiport --dports 443,80 -j ACCEPT #允许奇安信网站卫士 CDN 节点访问 80、443 端口
iptables -A INPUT -p tcp -m set --match-set CloudFlare src -m multiport --dports 443,80 -j ACCEPT #允许 CloudFlare 的 IPv4 节点访问 80、443 端口
ip6tables -A INPUT -p tcp -m set --match-set CloudFlare6 src -m multiport --dports 443,80 -j ACCEPT #允许 CloudFlare 的 IPv6 节点访问 80、443 端口反之黑名单命令如下
iptables -A INPUT -p tcp -m set --match-set QNX360 src -m multiport --dports 443,80 -j DROP #禁止奇安信网站卫士 CDN 节点访问 80、443 端口
iptables -A INPUT -p tcp -m set --match-set CloudFlare src -m multiport --dports 443,80 -j DROP #禁止 CloudFlare 的 IPv4 节点访问 80、443 端口
ip6tables -A INPUT -p tcp -m set --match-set CloudFlare6 src -m multiport --dports 443,80 -j DROP #禁止 CloudFlare 的 IPv4 节点访问 80、443 端口
注意上述命令的差异涉及 IPv4 的命令是 iptables涉及 IPv6 的是 ip6tables不要搞混了否则是不会生效的哦同样的重载 iptables 和保存 iptables 也是要区分 IPv4 和 IPv6 的
systemctl reload iptables.service #重载 IPv4 规则
service iptables save #保存 IPv4 规则
systemctl reload ip6tables.service #重载 IPv6 规则
service ip6tables save #保存 IPv6 规则
好了至此就通过 IPSET 导入了两个不同 CDN 服务商的节点 IP 了如果后期节点 IP 有所调整只需要在 IPSET 里清理掉对应合集重新导入新的 IP 节点即可注意区分 IPv4/IPv6 即可。比如变更 CloudFlare 节点 IP我们只需要清楚 CloudFlare 合集后再导入即可
ipset flush CloudFlare
ipset flush CloudFlare6
至于导入 TXT 格式参考上面的合集 TXT 修改即可推荐使用 EditPlus 的搜索替换来快速的修改文本【推荐下用了十多年的老牌纯文本编辑器——EditPlus】。
如果您只用了 CloudFlare可以直接使用下面的命令完成 iptables 节点 IP 加白
#添加 cloudflare ips-v4 到 iptables 白名单的命令
for i in curl https://www.cloudflare.com/ips-v4; do iptables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done
#添加 cloudflare ips-v6 iptables 白名单的命令
for i in curl https://www.cloudflare.com/ips-v6; do ip6tables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done
这个更加的简单高效明月采用的 IPSET 主要是为了方便后期运维需要的毕竟明月是专业干这个的嘛
