Linux禁止IP、封IP、解除封IP的方法

最近服务器内存资源严重暂用,查看日志后原来被暴力破解VPN密码;暂时用了封IP网段的方法来禁止。方法见下面,

现在公布一下暴力破解VPN的IP:118.249.110.115 湖南省长沙的。我的密码这么多符号你这么只用数字和字母呢。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Mar 11 14:53:52 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:53:57 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm123456]验证失败
Mar 11 14:53:57 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:54:06 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:54:09 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2009]验证失败
Mar 11 14:54:09 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:54:24 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:54:29 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2010]验证失败
Mar 11 14:54:29 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:54:44 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:54:49 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2011]验证失败
Mar 11 14:54:50 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:55:20 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:55:25 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2012]验证失败
Mar 11 14:55:25 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:56:08 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:56:12 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2013]验证失败
Mar 11 14:56:12 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:56:36 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:56:41 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm2014]验证失败
Mar 11 14:56:42 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:57:04 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:57:08 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm666]验证失败
Mar 11 14:57:08 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 登出.
Mar 11 14:57:24 My Server03 pure-ftpd: (?@118.249.110.115) [INFO] 自 118.249.110.115 的新连接
Mar 11 14:57:28 My Server03 pure-ftpd: (?@118.249.110.115) [WARNING] 使用者[126cm888]验证失败

方法如下:

在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。

在Linux下封停IP,有封杀网段和封杀单个IP两种形式。一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。

在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。

要封停一个IP,使用下面这条命令:

1
#iptables -I INPUT -s ***.***.***.*** -j DROP

要解封一个IP,使用下面这条命令:

1
#iptables -D INPUT -s ***.***.***.*** -j DROP

参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP表示放弃连接。

此外,还可以使用下面的命令来查看当前的IP规则表:

1
2
3
4
#iptables –list</code>
比如现在要将118.249.110.115这个IP封杀,就输入:
1#iptables -I INPUT -s 118.249.110.115 -j DROP

要解封则将-I换成-D即可,前提是iptables已经有这条记录。如果要想清空封掉的IP地址,可以输入:

1
#iptables –flush

要添加IP段到封停列表中,使用下面的命令:

#iptables -I INPUT -s 121.0.0.0/8 -j DROP
其实也就是将单个IP封停的IP部分换成了Linux的IP段表达式。关于IP段表达式网上有很多详细解说的,这里就不提了。

相信有了iptables的帮助,解决小的DDoS之类的攻击也不在话下!

在加上这条命令禁ping,和修改下端口,禁用root用户等方法

一、系统禁止ping

1
[root@linu*** ~]# echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

二、系统允许ping

1
[root@linu*** ~]# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

此上两条命令的效果实时生效,可以用另外的机器ping来测试是否生效。
———————————————————————————————————-

1
2
/etc/rc.d/rc.local中增加一行
  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

0表示允许
1表示禁止