使用 iptables 暂时封锁 IP 的程序

Question 1

您需要创建一个 ipset，以便 iptables 可以对其进行匹配。注意超时 0表示默认永不过期。

ipset create temp_hosts hash:ip timeout 0
iptables -I INPUT 1 -m set -j DROP  --match-set temp_hosts src
iptables -I FORWARD 1 -m set -j DROP  --match-set temp_hosts src

现在我们的集合已经创建，我们可以开始添加 IP 地址（超时单位：秒）。

ipset add temp_hosts 1.1.1.2 timeout 400

请注意，如果您需要这些规则在重启后继续生效，您需要保存并加载规则。

ipset save -f /path/ipset.save
ipset restore -f /path/ipset.save

这些可以通过 cron 或 systemd 自动实现。

Answer

您需要创建一个 ipset，以便 iptables 可以对其进行匹配。注意超时 0表示默认永不过期。

ipset create temp_hosts hash:ip timeout 0
iptables -I INPUT 1 -m set -j DROP  --match-set temp_hosts src
iptables -I FORWARD 1 -m set -j DROP  --match-set temp_hosts src

现在我们的集合已经创建，我们可以开始添加 IP 地址（超时单位：秒）。

ipset add temp_hosts 1.1.1.2 timeout 400

请注意，如果您需要这些规则在重启后继续生效，您需要保存并加载规则。

ipset save -f /path/ipset.save
ipset restore -f /path/ipset.save

这些可以通过 cron 或 systemd 自动实现。

Question 2

尝试一下这个脚本，受到 Dan 的评论的启发：

#!/bin/bash
iptables -I INPUT -s $1 -j DROP
at ${2:-now+1hour} <<<"iptables -D INPUT -s $1 -j DROP"

另存为/usr/local/sbin/blockip并运行blockip 1.2.3.4或blockip 1.2.3.4 now+2hours。默认情况下，IP 被阻止 1 小时。

如果您更喜欢 REJECT 语义，则可以用 REJECT 替换 DROP。

Answer

尝试一下这个脚本，受到 Dan 的评论的启发：

#!/bin/bash
iptables -I INPUT -s $1 -j DROP
at ${2:-now+1hour} <<<"iptables -D INPUT -s $1 -j DROP"

另存为/usr/local/sbin/blockip并运行blockip 1.2.3.4或blockip 1.2.3.4 now+2hours。默认情况下，IP 被阻止 1 小时。

如果您更喜欢 REJECT 语义，则可以用 REJECT 替换 DROP。

使用 iptables 暂时封锁 IP 的程序

答案1

答案2

相关内容