使用redis来调用iptables,封禁恶意IP

原创
2018/12/20 11:42
阅读数 4.9K

话不多说,通常大多数站点都会有被薅羊毛的情况,防护无非也就是业务层做处理,短时内不再响应恶意请求啦.虽然不响应了,可还是会消耗资源的,比如我要从数据库(当然也可能是内存数据库)去查询下,你是不是恶意的IP. 那么能否网络层或应用层去处理呢?在前几篇文章有写过应用层方案,今天就写下网络层方法.

说起iptables 除非是专业人员,像普通开发者是不会使用的,一堆表一堆链的一看就头疼.所以**RedisPushIptables**就应时而生,开发者不须为iptables复杂语法头疼,只需要像使用redis那样简单,就可使用iptables来阻挡恶意IP地址.

RedisPushIptables是一个redis模块,用于更新防火墙规则,以在指定的时间内拒绝IP地址或永久拒绝。比fail2ban更好用点,不到400行代码实现.适用任意业务,API调用,不需要分析应用日志,业务主动调用,缺点是要手动编码.不适用普通使用者.

该模块可以通过 redis 来操作 iptables 的 filter表INPUT链规则的增加和删除,可以用来动态调用防火墙。比如用来防御攻击。

但是前提要以 root 来运行,因为 iptables 需要 root 权限。

  #1: Compile hiredis
    cd redis-4.0**version**/deps/hiredis
    make 
    make install 
    
  #2: git clone  https://github.com/limithit/RedisPushIptables.git
    cd RedisPushIptables
    make 


加载模块
MODULE LOAD /path/to/iptablespush.so

语法
accept.insert - Filter table INPUT ADD ACCEPT
accept.delete - Filter table INPUT DEL ACCEPT
drop.insert - Filter table INPUT ADD DROP
drop.delete - Filter table INPUT DEL DROP
ttl.drop.insert - Dynamic delete filter table INPUT ADD DROP

127.0.0.1:6379>accept.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>accept.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.delete 192.168.188.8
(integer) 13
127.0.0.1:6379>drop.insert 192.168.188.8
(integer) 13
127.0.0.1:6379>ttl.drop.insert 192.168.188.8 60
(integer) 13
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.188.8        0.0.0.0/0 
ACCEPT       all  --  192.168.188.8        0.0.0.0/0

iptables 动态删除配置

默认情况下,禁用键空间事件通知,虽然不太明智,但该功能会使用一些CPU。使用redis.confnotify-keyspace-eventsCONFIG SET启用通知。将参数设置为空字符串会禁用通知。为了启用该功能,使用了一个非空字符串,由多个字符组成,其中每个字符都具有特殊含义,如下表所示:

K Keyspace事件,使用keyspace @前缀发布。E Keyevent事件,使用keyevent @前缀发布。g通用命令(非类型特定),如DELEXPIRERENAME... $ String命令l列表命令设置命令h哈希命令z排序的设置命令x过期事件(每次键到期时生成的事件)e被驱逐的事件(为maxmemory驱逐密钥时生成的事件)g$lshzxe的别名,“AKE”字符串表示所有事件。

字符串中至少应存在KE,否则无论字符串的其余部分如何都不会传递任何事件。例如,只为列表启用键空间事件,配置参数必须设置为Kl,依此类推。字符串KEA可用于启用每个可能的事件。

# redis-cli config set notify-keyspace-events Ex
也可以使用以下redis.conf配置指令加载模块:

notify-keyspace-events Ex
#notify-keyspace-events ""  #注释掉这行

使用root用户运行ttl_iptables守护程序

root@debian:~/RedisPushIptables# ./ttl_iptables
日志在/var/log/ttl_iptables.log中查看

root@debian:~# redis-cli TTL.DROP.INSERT 192.168.18.5 60  
(integer) 12
root@debian:~# date
Fri Mar 15 09:38:49 CST 2019    
root@debian:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.18.5        0.0.0.0/0 
root@debian:~/RedisPushIptables# tail -f /var/log/ttl_iptables.log 
pid=5670 03/15-09:39:48 iptables -D INPUT -s 192.168.18.5 -j DROP
root@debian:~# iptables -L INPUT -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

从此普通开发也能像运维那样,使用防火墙了.其实我不擅长写作,大伙凑合看吧,就这么多。

展开阅读全文
打赏
5
34 收藏
分享
加载中
这个可以,这个可以
2018/12/21 10:55
回复
举报
redis阻塞/非阻塞队列
https://cs.xieyonghui.com/redis/73.html
2018/12/20 22:48
回复
举报

引用来自“徐舟”的评论

这个是什么实现原理

引用来自“叫我甘道夫”的评论

直白点说就是对iptables语法封装下,有源码的你可看看
C代码看的一知半解。。
2018/12/20 16:51
回复
举报

引用来自“徐舟”的评论

这个是什么实现原理
直白点说就是对iptables语法封装下,有源码的你可看看
2018/12/20 15:05
回复
举报
这个是什么实现原理
2018/12/20 14:54
回复
举报
更多评论
打赏
5 评论
34 收藏
5
分享
返回顶部
顶部