iptables直接针对ip进行封禁,在ip数量不大的时候是没什么问题的,但当有大量ip的时候性能会严重下降,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题。
1. 如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可)安装ipset。
yum install ipset -y
2.ipset创建基于iphash的集合名称,例如blacklist,timeout 3600 表示封禁3600s;iptables开启封禁80,443策略。
ipset create blacklist hash:ip timeout 3600iptables -A INPUT -p tcp -m set --match-set blacklist src -m multiport --dports 443,80 -j DROP
当然,也可以封禁黑名单IP的所有请求。
iptables -I INPUT -p tcp -m set --match-set blacklist src -m multiport -j DROP
3.基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP的脚本/data/iptables_ipset_deny.sh。
FILES:nginx的access.log文件
sensitive: 敏感关键字
threshold: 一分钟内请求频率阈值
#!/bin/bashFILES="/data/nginx/logs/access.log"sensitive="sensitive_word"threshold=1000ip_file="/tmp/ip_file"sensitive_file="/tmp/sensitive_file"DATE=`date -d '1 minutes ago' +%Y:%H:%M`grep ${DATE} ${FILES} | awk '{print $1}' | sort | uniq -c | sort -n | tail -n 1 > ${ip_file}grep ${DATE} ${FILES} | grep -i ${sensitive} | awk '{print $1}' | sort -n | uniq > ${sensitive_file}ip_file_number=`awk '{print $1}' ${ip_file}`ip_file_ip=`awk '{print $2}' ${ip_file}`if [[ $ip_file_number -gt $threshold ]];thenipset add blacklist ${ip_file_ip} timeout 3600fiif [ -s ${sensitive_file} ];thenfor sensitive_ip in `cat ${sensitive_file}`doipset add blacklist ${sensitive_ip}donefi
4. 用crontab定时启动脚本。
echo "*****bash/data/iptables_ipset_deny.sh" >> /etc/crontab
