设为首页收藏本站

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

新浪微博账号登陆

只需一步,快速开始

搜索
查看: 1643|回复: 4

kangle配合iptables实现黑名单系统,频率检测自动封禁IP,打造防火墙拦截系统

[复制链接]

签到天数: 2390 天

[LV.Master]伴坛终老

 成长值: 21690
发表于 2015/6/13 04:49 | 显示全部楼层 |阅读模式 |Google Chrome 43.0.2357.124|Windows 8.1
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
顺便一说,毕竟防护CC默认只是阻断访问,肯定没黑名单封禁不接收数据来的强,省流量是肯定的。


需kangle 3.1以上商业版支持,可配合iptables自动封,解封ip,防止攻击。使用得当,效果非常好。

初始化iptables,输入以下命令(root): 必须添加,否者都提示No chain/target/match by that name.报错

  1. /sbin/iptables -N kangle
  2. /sbin/iptables -I INPUT -p tcp -j kangle
  3. /etc/init.d/iptables save
复制代码



增加配置文件
/vhs/kangle/ext目录新建一个xml文件,如:iptables.xml,内容如下:(目录不存在可以用mkdir -p /vhs/kangle/ext创建)
  1. <?xml version="1.0" encoding="utf-8"?>
  2. <config>
  3. <block_ip_cmd>/sbin/iptables -I kangle -s ${ip} -j DROP</block_ip_cmd>
  4. <unblock_ip_cmd>/sbin/iptables -D kangle -s ${ip} -j DROP</unblock_ip_cmd>
  5. <flush_ip_cmd>/sbin/iptables -F kangle</flush_ip_cmd>
  6. <bl_time>600</bl_time>
  7. </config>
复制代码


bl_time是黑名单时间,单位秒,请修改为你的设置。这里设置的是10分钟。


如果不想添加初始化iptables命令的话,可以放在系统默认的INPUT表中,把kangle替换INPUT就可以了。比如说用下面这个,就可以不进去ssh进行初始化,方便做cdnbest多节点分发之类,注意默认封禁all,包括ping也会进行拦截10分钟,期间无法登陆ssh,至于命令加不加tcp看你自己了,个人建议全封了。
  1. <!--#start 800 -->
  2. <?xml version="1.0" encoding="utf-8"?>
  3. <config>
  4. <block_ip_cmd>/sbin/iptables -I INPUT -s ${ip} -j DROP</block_ip_cmd>
  5. <unblock_ip_cmd>/sbin/iptables -D INPUT -s ${ip} -j DROP</unblock_ip_cmd>
  6. <flush_ip_cmd>/sbin/iptables -F INPUT</flush_ip_cmd>
  7. <bl_time>600</bl_time>
  8. </config>
复制代码


重载kangle配置文件
  1. /vhs/kangle/bin/kangle -r
复制代码


使用黑名单
进kangle管理后台 http://ip:3311/
black_list标记模块。在请求控制中可以使用这个模块,这个可以和其它模块配合,如ip_rate用来检测某个ip的访问频率。仅在全局请求控制中才会同步到防火墙上。
per_ip_deny,在配置==>资源限制,勾上per_ip_deny,kangle会对超过每ip连接数限制的加入黑名单。

具体设置可以参考:http://bbs.itzmx.com/thread-9270-1-1.html


使用
  1. iptables -L -n --line-numbers
复制代码
查看封禁效果

效果图,个人建议使用频率,2秒80次封禁10分钟是不错的设置。目标设置拒绝
1.png

补充,现在http2的话,资源并发占用很大,建议调大数值,比如说10秒内200次。

2.jpg

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

刻骨铭心 该用户已被删除
发表于 2015/6/13 04:49 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 78 天

[LV.6]常住居民II

发表于 2017/7/9 05:47 | 显示全部楼层 |Google Chrome 59.0.3071.115|Windows 7
我想问那个kangle已生效的黑名单列表 在哪看,Windows下面的
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2390 天

[LV.Master]伴坛终老

 成长值: 21690
发表于 2017/7/9 15:23 | 显示全部楼层 |Google Chrome 59.0.3071.115|Windows 8.1
hhmx 发表于 2017/7/9 05:47
我想问那个kangle已生效的黑名单列表 在哪看,Windows下面的

这个在前台上看不到。。有api可以获取当前黑名单列表
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2390 天

[LV.Master]伴坛终老

 成长值: 21690
发表于 2017/7/9 15:23 | 显示全部楼层 |Google Chrome 59.0.3071.115|Windows 8.1
然后具体的api是啥我不知道←
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 用百度帐号登录新浪微博账号登陆

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2018/7/20 11:05 , Processed in 0.260858 second(s), 45 queries , Gzip On, Memcache On.

Powered by itzmx!

© 2011-2018 sakura

快速回复 返回顶部 返回列表