linux阻止ip段访问的命令教程

在Linux系统中，安全防护是至关重要的一环，而阻止特定IP段的访问则是增强系统安全性的有效手段。当面临网络攻击、恶意扫描或者需要限制特定区域的访问时，掌握如何使用命令来阻止IP段的访问就显得尤为重要。下面将详细介绍在Linux系统中常用的几种阻止IP段访问的命令教程。

我们要介绍的是使用`iptables`命令。`iptables`是Linux系统中一个功能强大的防火墙工具，它可以对网络数据包进行过滤和转发。要阻止一个IP段的访问，我们可以通过添加规则来实现。例如，若要阻止IP段`192.168.1.0/24`的访问，我们可以使用以下命令：

```bash

iptables -A INPUT -s 192.168.1.0/24 -j DROP

```

这条命令的含义是，在`INPUT`链中添加一条规则，将源IP地址属于`192.168.1.0/24`这个IP段的数据包都丢弃。`-A`表示追加规则到指定链，`INPUT`是指进入系统的数据包链，`-s`用于指定源IP地址，`/24`表示子网掩码为`255.255.255.0`，`-j DROP`则表示将匹配的数据包丢弃。

若要阻止多个IP段的访问，只需多次执行类似的命令即可。比如，我们还想阻止`10.0.0.0/8`这个IP段的访问，可以再执行：

```bash

iptables -A INPUT -s 10.0.0.0/8 -j DROP

```

需要注意的是，`iptables`规则在系统重启后会丢失。为了让规则在重启后依然生效，我们可以使用以下方法。在Debian或Ubuntu系统中，可以使用`iptables-persistent`工具来保存规则。首先安装该工具：

```bash

sudo apt-get install iptables-persistent

```

安装完成后，当你修改了`iptables`规则后，可以使用以下命令保存规则：

```bash

sudo netfilter-persistent save

```

在CentOS或RHEL系统中，可以使用`iptables-services`服务来保存规则。首先安装该服务：

```bash

sudo yum install iptables-services

```

然后保存规则：

```bash

sudo service iptables save

```

接下来，我们介绍另一种方法，使用`ipset`。`ipset`是一个用于管理IP地址集合的工具，它可以高效地处理大量的IP地址和IP段。我们需要创建一个`ipset`集合，例如创建一个名为`blocked_ips`的集合：

```bash

ipset create blocked_ips hash:net

```

这里的`hash:net`表示集合类型为网络地址集合。然后，我们可以向集合中添加IP段，例如添加`192.168.2.0/24`：

```bash

ipset add blocked_ips 192.168.2.0/24

```

接着，我们需要使用`iptables`来引用这个`ipset`集合，阻止集合中的IP段访问：

```bash

iptables -A INPUT -m set --match-set blocked_ips src -j DROP

```

这条命令的意思是，在`INPUT`链中添加一条规则，当源IP地址属于`blocked_ips`集合时，将数据包丢弃。与`iptables`规则一样，`ipset`集合在系统重启后也会丢失。为了让`ipset`集合在重启后依然生效，我们可以将创建和添加IP段的命令添加到系统启动脚本中。

除了以上方法，还可以使用`firewalld`，它是CentOS 7及以上版本默认的防火墙管理工具。要阻止一个IP段的访问，可以使用以下命令：

```bash

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.3.0/24" reject'

```

这条命令表示永久添加一条规则，拒绝源IP地址属于`192.168.3.0/24`的数据包。添加规则后，需要重新加载防火墙：

```bash

sudo firewall-cmd --reload

```

通过以上几种方法，我们可以在Linux系统中有效地阻止特定IP段的访问，从而增强系统的安全性。在实际使用中，我们可以根据具体的需求和系统环境选择合适的方法。要定期检查和更新阻止的IP段，以应对不断变化的网络安全威胁。