使用redis来调用iptables,封禁恶意IP-低调大师

使用redis来调用iptables,封禁恶意IP

2018-12-20 903

话不多说,通常大多数站点都会有被薅羊毛的情况,防护无非也就是业务层做处理,短时内不再响应恶意请求啦.虽然不响应了,可还是会消耗资源的,比如我要从数据库(当然也可能是内存数据库)去查询下,你是不是恶意的IP. 那么能否网络层或应用层去处理呢?在前几篇文章有写过应用层方案,今天就写下网络层方法.

说起iptables 除非是专业人员,像普通开发者是不会使用的,一堆表一堆链的一看就头疼.所以**RedisPushIptables**就应时而生,开发者不须为iptables复杂语法头疼,只需要像使用redis那样简单,就可使用iptables来阻挡恶意IP地址.

RedisPushIptables是一个redis模块,用于更新防火墙规则，以在指定的时间内拒绝IP地址或永久拒绝。比fail2ban更好用点,不到400行代码实现.适用任意业务,API调用,不需要分析应用日志,业务主动调用,缺点是要手动编码.不适用普通使用者.

该模块可以通过 redis 来操作 iptables 的 filter表INPUT链规则的增加和删除，可以用来动态调用防火墙。比如用来防御攻击。

但是前提要以 root 来运行，因为 iptables 需要 root 权限。

  #1: Compile hiredis
    cd redis-4.0**version**/deps/hiredis
    make 
    make install 
    
  #2: git clone  https://github.com/limithit/RedisPushIptables.git
    cd RedisPushIptables
    make 


加载模块
MODULE LOAD /path/to/iptablespush.so

语法
accept.insert - Filter table INPUT ADD ACCEPT
accept.delete - Filter table INPUT DEL ACCEPT
drop.insert - Filter table INPUT ADD DROP
drop.delete - Filter table INPUT DEL DROP
ttl.drop.insert - Dynamic delete filter table INPUT ADD DROP

127.0.0.1:6379>accept.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>accept.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>ttl.drop.insert 192.168.188.8 60
(integer) 13
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.188.8        0.0.0.0/0 
ACCEPT       all  --  192.168.188.8        0.0.0.0/0

iptables 动态删除配置

默认情况下，禁用键空间事件通知，虽然不太明智，但该功能会使用一些CPU。使用redis.conf的notify-keyspace-events或CONFIG SET启用通知。将参数设置为空字符串会禁用通知。为了启用该功能，使用了一个非空字符串，由多个字符组成，其中每个字符都具有特殊含义，如下表所示：

K Keyspace事件，使用keyspace @前缀发布。E Keyevent事件，使用keyevent @前缀发布。g通用命令（非类型特定），如DEL，EXPIRE，RENAME，... $ String命令l列表命令设置命令h哈希命令z排序的设置命令x过期事件（每次键到期时生成的事件）e被驱逐的事件（为maxmemory驱逐密钥时生成的事件）g$lshzxe的别名，“AKE”字符串表示所有事件。

字符串中至少应存在K或E，否则无论字符串的其余部分如何都不会传递任何事件。例如，只为列表启用键空间事件，配置参数必须设置为Kl，依此类推。字符串KEA可用于启用每个可能的事件。

# redis-cli config set notify-keyspace-events Ex
也可以使用以下redis.conf配置指令加载模块：

notify-keyspace-events Ex
#notify-keyspace-events ""  #注释掉这行

使用root用户运行ttl_iptables守护程序

root@debian:~/RedisPushIptables# ./ttl_iptables
日志在/var/log/ttl_iptables.log中查看

root@debian:~# redis-cli TTL.DROP.INSERT 192.168.18.5 60  
(integer) 12
root@debian:~# date
Fri Mar 15 09:38:49 CST 2019    
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.18.5        0.0.0.0/0 
root@debian:~/RedisPushIptables# tail -f /var/log/ttl_iptables.log 
pid=5670 03/15-09:39:48 iptables -D INPUT -s 192.168.18.5 -j DROP
root@debian:~# iptables -L INPUT -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

从此普通开发也能像运维那样,使用防火墙了.其实我不擅长写作,大伙凑合看吧,就这么多。

微信关注我们

原文链接：https://my.oschina.net/MasterXimen/blog/2990886

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

基于代理的数据库分库分表框架 Mycat实践

文章共 1796字，阅读大约需要 4分钟！概述在如今海量数据充斥的互联网环境下，分库分表的意义我想在此处就不用赘述了。而分库分表目前流行的方案最起码有两种：方案一：基于应用层的分片，即应用层代码直接完成分片逻辑方案二：基于代理层的分片，即在应用代码和底层数据库中间添加一层代理层，而分片的路由规则则由代理层来进行处理而本文即将要实验的 MyCAT框架就属于第二种方案的代表作品。注：本文首发于 My Personal Blog：CodeSheep·程序羊，欢迎光临小站环境规划在本文中，我拿出了三台 Linux主机投入试验，各节点的角色分配如下表所示：节点部署组件角色 192.168.199.75 MySQL 、 MyCAT master 192.168.199.74 MySQL slave 192.168.199.76 MySQL standby master 如果说上面这张表不足以说明实验模型，那接下来再给一张图好了，如下所示：我想这样看来的话，各个节点布了哪些组件，节点间的角色关系应该一目了然了吧实验环境规划好了以后，接下来进行具体的部署与实验过程，首...

2018-12-20

791

15年在某电商从0设计了一个通用的API监控系统，当时只是计算了成功率+平均耗时，没有算75,90,95,99,999,9999线，这次单位需要，所以促使我去思考这个问题，问了单位CAT维护人员，大致了解了计算方式，跟我在18年7月份在单位内网BBS发表的文章思路是一致的，所以就直接写了下面的代码 PercentageCalculation.java package com.ymm.computation.udf.define; import org.apache.flink.table.functions.AggregateFunction; import org.slf4j.Logger; import org.slf4j.LoggerFactory; //批量计算95line类似的数据 public class PercentageCalculation extends AggregateFunction<Object, PercentageAccumulator> { /** */ private static final long ser...

2018-12-20

776

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。