在 Linux 下利用ipset大量遮蔽惡意 IP 地址

很多情況下，你可能需要在Linux下遮蔽IP地址。比如，作為一個終端使用者，你可能想要免受間諜軟體或者IP追蹤的困擾。或者當你在執行P2P軟體時。你可能想要過濾反P2P活動的網路連結。如果你是一名系統管理員，你可能想要禁止垃圾IP地址訪問你們的公司郵件伺服器。或者你因一些原因想要禁止某些國家訪問你的web服務。在許多情況下，然而，你的IP地址遮蔽列表可能會很快地增長到幾萬的IP。該如何處理這個？

Netfilter/IPtables 的問題

在Linux中，可以很簡單地用netfilter/iptables框架禁止IP地址：

1. $ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要完全遮蔽一個IP地址段，你可以用下面的命令很簡單地做到：

1. $ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

然而，當你有1000個獨立IP地址，且不帶CIDR（無類別域間路由）字首，你該怎麼做？你要有1000條iptable規則！這顯然這並不適於大規模遮蔽。

1. $ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
2. $ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
3. $ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
4. . . . .

什麼是IP集?

這時候就是IP集登場了。IP集是一個核心特性，它允許多個（獨立）IP地址、MAC地址或者甚至是埠號被編碼和有效地儲存在點陣圖/雜湊核心資料結構中。一旦IP集建立之後，你可以建立一條iptables規則來匹配這個集合。

你馬上就會看見IP集合的好處了，它可以讓你用一條iptable規則匹配多個ip地址！你可以用多個IP地址和埠號的方式來構造IP集，並且可以動態地更新規則而沒有效能影響。

在Linux中安裝IPset工具

為了建立和管理IP集，你需要使用稱為ipset的使用者空間工具。

要在Debian、Ubuntu或者Linux Mint上安裝：

1. $ sudo apt-get install ipset

Fedora或者CentOS/RHEL 7上安裝：

1. $ sudo yum install ipset

使用IPset命令禁止IP

讓我通過簡單的示例告訴你該如何使用ipset命令。

首先，讓我們建立一條新的IP集，名為banthis（名字任意）：

1. $ sudo ipset create banthis hash:net

第二個引數(hash:net)是必須的，代表的是集合的型別。IP集有多個型別。hash:net型別的IP集使用雜湊來儲存多個CIDR塊。如果你想要在一個集合中儲存單獨的IP地址，你可以使用hash:ip型別。

一旦建立了一個IP集之後，你可以用下面的命令來檢查：

1. $ sudo ipset list

這顯示了一個可用的IP集合列表，並有包含了集合成員的詳細資訊。預設上，每個IP集合可以包含65536個元素（這裡是CIDR塊）。你可以通過追加"maxelem N"選項來增加限制。

1. $ sudo ipset create banthis hash:net maxelem 1000000

現在讓我們來增加IP塊到這個集合中：

1. $ sudo ipset add banthis 1.1.1.1/32
2. $ sudo ipset add banthis 1.1.2.0/24
3. $ sudo ipset add banthis 1.1.3.0/24
4. $ sudo ipset add banthis 1.1.4.10/24

你會看到集合成員已經改變了。

1. $ sudo ipset list

現在是時候去建立一個使用IP集的iptables規則了。這裡的關鍵是使用"-m set --match-set "選項。

現在讓我們建立一條讓之前那些IP塊不能通過80埠訪問web服務的iptable規則。可以通過下面的命令：

1. $ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你願意，你可以儲存特定的IP集到一個檔案中，以後可以從檔案中還原：

1. $ sudo ipset save banthis -f banthis.txt
2. $ sudo ipset destroy banthis
3. $ sudo ipset restore -f banthis.txt

上面的命令中，我使用了destory選項來刪除一個已有的IP集來看看我是否可以還原它。

自動IP地址禁用

現在你應該看到了IP集合的強大了。維護IP黑名單是一件繁瑣和費時的工作。實際上，有很多免費或者收費的服務可以來幫你完成這個。一個額外的好處是，讓我們看看如何自動將IP黑名單加到IP集中。

首先讓我們從iblocklist.com得到免費的黑名單，這個網站有不同的免費和收費的名單。免費的版本是P2P格式。

接下來我要使用一個名為iblocklist2ipset的開源Python工具來將P2P格式的黑名單轉化成IP集。

首先，你需要安裝了pip（參考這個指導來安裝pip）。

使用的下面命令安裝iblocklist2ipset。

1. $ sudo pip install iblocklist2ipset

在一些發行版如Fedora，你可能需要執行：

1. $ sudo python-pip install iblocklist2ipset

現在到iblocklist.com，抓取任何一個P2P列表的URL（比如"level1"列表）。

粘帖URL到下面的命令中。

1. $ iblocklist2ipset generate
2. --ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz"
3. > banthis.txt

上面的命令執行之後，你會得到一個名為banthis.txt的檔案。如果檢視它的內容，你會看到像這些：

1. create banthis hash:net family inet hashsize 131072 maxelem 237302
2. add banthis 1.2.4.0/24
3. add banthis 1.2.8.0/24
4. add banthis 1.9.75.8/32
5. add banthis 1.9.96.105/32
6. add banthis 1.9.102.251/32
7. add banthis 1.9.189.65/32
8. add banthis 1.16.0.0/14

你可以用下面的ipset命令來載入這個檔案：

1. $ sudo ipset restore -f banthis.txt

現在可以檢視自動建立的IP集：

1. $ sudo ipset list banthis

在寫這篇文章時候，“level1”類表包含了237,000個遮蔽的IP列表。你可以看到很多IP地址已經加入到IP集中了。

最後，建立一條iptables命令來遮蔽這些壞蛋！

總結

這篇文章中，我描述了你該如何用強大的ipset來遮蔽不想要的IP地址。同時結合了第三方工具iblocklist2ipset，這樣你就可以流暢地維護你的IP遮蔽列表了。那些對ipset的效能提升好奇的人，下圖顯示了iptables在使用和不使用ipset的基準測試結果（注意時間座標軸）。

告訴我你多麼喜歡這個。:-)