跳到主要內容

用 Linux 的 ipset 建立大量黑名單替換 Apache 的 .htaccess 黑名單方法

雲主機建好 LAMP 之後,接下來最重要的是建立 L3 及 L4 防火牆規則,把一些爬蟲、代理池與高風險國家 IP 區段封鎖,減輕硬碟的 I/O 壓力。
不然每隔幾秒就來一次請求,就算 L7 應用層有高階防爬蟲機制,還是會消耗雲主機的算力。
當然最好是在路由端用硬體防火牆清洗,但因為是雲主機沒有實體路由,因此改用 Linux kernel 層級的黑名單系統 ipset 也能達到 L3 與 L4 清洗效果,讓 Apache/PHP 完全碰不到,不吃 CPU、不吃 I/O。
經過實際執行、爆肝測試後,去除所有失敗方法,以下為正確建立ipset 黑名單的方法:

1、建立 ipset
sudo ipset create blacklist hash:ip

如果看到:
ipset v7.x.x: Set cannot be created: already exists

代表曾經建立過,需要 destroy。

如果返回:
Command 'ipset' not found, but can be installed with: apt install ipset

表示 Linux 初始環境沒有預裝 ipset,輸入以下指令安裝:
sudo apt update
sudo apt install ipset -y

完成後驗證:
ipset list

如果返回:
ipset v7.x.x: The set with the given name does not exist
表示 ipset 已成功安裝(但還沒建立 blacklist)。

2、建立一份「只有網段」的列表檔
輸入指令建立
sudo nano /root/blacklist.txt

貼上以下內容(改成您自己的IP名單)
1.0.1.0/24
1.0.2.0/23
1.0.8.0/21
1.0.32.0/19
(略…)
Ctrl+O 儲存 → Enter 確認 → Ctrl+X 返回。注意:一定要用 nano 建立,避免 BOM/CRLF 問題。

3、建立自動載入腳本
輸入指令建立
sudo nano /usr/local/bin/ipset-load.sh
貼入以下腳本

#!/bin/bash
# 建立 blacklist(若存在就忽略)
ipset create blacklist hash:net family inet hashsize 131072 maxelem 1000000 -exist
# 清空舊內容(不論是否存在)
ipset flush blacklist
# 從純文字逐行加入
while read net; do
[[ -z "$net" ]] && continue # 空行跳過
[[ "$net" =~ ^# ]] && continue # 註解跳過
ipset add blacklist "$net" -exist
done < /root/blacklist.txt
# 確保 iptables DROP 規則存在
iptables -C INPUT -m set --match-set blacklist src -j DROP 2>/dev/null
if [ $? -ne 0 ]; then
iptables -I INPUT -m set --match-set blacklist src -j DROP
fi

儲存後賦予可執行權限:
sudo chmod +x /usr/local/bin/ipset-load.sh

4、建立 systemd 服務(開機自動跑)
輸入指令建立
sudo nano /etc/systemd/system/ipset-blacklist.service

貼入以下代碼

[Unit]
Description=Load IP blacklist into ipset
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/ipset-load.sh

[Install]
WantedBy=multi-user.target

儲存後啟用
sudo systemctl daemon-reload
sudo systemctl enable ipset-blacklist.service

5、立刻手動啟動一次(等於自動執行效果)
sudo systemctl start ipset-blacklist.service

輸入檢查:
sudo ipset list blacklist | head
sudo iptables -L INPUT -n --line-numbers | head

應該會看到:
blacklist 有 xxxx+ 筆iptables 第一行 有 DROP match-set blacklist
這樣就完成 ipset 黑名單建立。

6、重開機測試(最關鍵)
sudo reboot
重啟後檢查:
sudo ipset list blacklist | head
sudo iptables -L INPUT -n --line-numbers

若依然能看到:

blacklist xxxx+ 筆
iptables 第一行 DROP
就表示 Linux 開機會自動載入 blacklist.txt。

7、增加封鎖 IP 規則(只需要這些步驟)
編輯黑名單:
sudo nano /root/blacklist.txt

加入新增封鎖IP:
45.72.0.0/16
103.100.0.0/20

重新載入:
sudo systemctl restart ipset-blacklist.service

新增的黑名單就會即時生效,由 ipset 在 Kernel 層封鎖。

以上是我昨天爆肝整理出來的流程,踩雷踩到懷疑人生,但最後成功把 .htaccess 黑名單升級到 Linux kernel 黑名單,大幅降低 Apache / PHP / I/O 壓力。
有需要的朋友參考看看。

工作心得撰寫:徐嘉裕 Neil hsu
標籤:

留言

張貼留言

這個網誌中的熱門文章

好用的windows備份檔案dos指令XCOPY-教學撰寫:徐嘉裕Neil hsu

要快速的備份某個硬碟全部資料到備份硬碟中,雖然是可以用windows內建的備份與還原,但如果重灌windows可會有key不同而無法還原的問題,還要改一堆設定煩死了,直接用dos指令XCOPY來做檔案的複製就很快了,資料也不會丟失,好朋友可以參考看看!! 首先開啟windows所有程式->附屬應用程式->開啟命令提示字元! 然後輸入以下指令 XCOPY C:\xxx   F:\xxx /s 藍字的 C:\xxx  為複製檔案來源位置例如要複製整個C槽就輸入 C:\ 綠色的   F:\xxx 為複製目的位置,例如要放到F槽的備份資料夾,就輸入  F:\ 備份 紅字的 S 為複製類型參數,可以自行修改為以下的參數設定: ================================================================= /A    只複製設定成保存屬性的檔案,不要改變屬性的設定。 /M    只複製設定成保存屬性的檔案,並清除保存屬性。 /D:m-d-y  複製指定日期當天或之後變更的檔案。如果沒給日期,只複製那些來源檔案日期比目的檔案日期為新的檔案。 /EXCLUDE:file1[+file2][+file3]...         指定檔案清單字串。每個字串應在不同行。如果有字串對應到要進行複製的檔案絕         對路徑的任何部分,這個檔案會被排除複製。例如,指定字串         \obj\ 或 .obj 的話,會排除所有在 obj 目錄下副檔名是.obj 的檔案複製。 /P    在建立每個目的檔案時顯示提示。 /S    複製每個目錄及其包含的子目錄,不複製空目錄。 /E    複製每個目錄及其包含的子目錄,也複製空目錄。/S 與 /E相同,能夠用來修改 /T。 /V   ...
3 則留言
閱讀完整內容

XAMPP自行下載PHP官方PHP8.3升級方法

目前這方法只適用於Windows安裝的Xampp,可以下PHP官網的PHP8.3包進行升級,如果是LINUX安裝的LAMPP此方法不適用,可直接跳過! 因為本地端的開發環境需要更高的PHP版本來測試模組,而XAMPP官網釋出的PHP版本只有到PHP8.2,無法滿足需求,只好自己動手DIY升級了,其實方法也很簡單,說明如下: 1、先關閉Xampp Panel的Apache跟Mysql 2、前往PHP官網,下載PHP8.3包(VS16 x64 Thread Safe) 下載連結: https://windows.php.net/download#php-8.3-ts-vs16-x64 3、吧下載回來的php包放解壓縮放到php資料夾裡面(建立一個php資料夾),然後吧Xampp根目錄中的php檔案更名,例如改為php_8.1,再吧剛剛下載建立的php資料夾放到Xampp根目錄中c:\xampp\php 4、進入php根目錄,找到php.ini-development,複製一份後改為php.ini,用文字編輯器打開進入 5、先搜尋;extension_dir,在下面加上extension_dir = "\xampp\php\ext" 6、再搜尋;extension=curl,會有下面這一排啟用套件設定 將以下套件的;註解拿掉 extension=curl extension=fileinfo extension=gd extension=gettext extension=mbstring extension=exif      extension=mysqli extension=openssl extension=pdo_mysql extension=pdo_sqlite extension=zip 7、最後需要吧 C:\xampp\php裡面的 libssh2.dll 複製後貼到C:\xampp\apache\bin 覆蓋舊檔 再到資料夾C:\xampp\php中輸入搜尋 libcrypto-*.dll 和 libssl-*.dll 找到兩支檔,複製後貼到C:\xampp\apache\bin 覆蓋舊檔 找到php.ini中的curl.cainfo,吧註解拿掉改為 curl.cainfo = "C:\xampp\php\ext...
張貼留言
閱讀完整內容

jQuery取得下拉選單selected中數值與內容的方法

假設選單狀態為: <select id='selectname '> <option value='v1' data-id="d1">選單A</option> <option value='v2' data-id="d2">選單B</option> <option value='v3' data-id="d3">選單C</option> </select> 以jQuery取得選單數值與內容方法如下: 1、取得下拉選單 value 數值的方法 $selectname=$('#selectname').val(); alert($selectname); //顯示選單中 selected 狀態的value數值v1 or  v2  or  v3。 2、取得下拉選單中 data-id 數值的方法 $data-id= $(this).find(':selected').attr('data-id'); alert($data-id); //顯示選單中 selected 狀態的data-id數值d1 or  d2 or  d3。 3、取得下拉選單中 文字 的方法 $selecttext=$(this).find(':selected').text(); alert($selecttext); //顯示選單中 selected 狀態的文字內容,如選單A or  選單B or 選單C。 教學撰寫:徐嘉裕 Neil hsu
張貼留言
閱讀完整內容