怎么隐藏ip地址
可通过代理服务器、连接公共WiFi、使用移动网络的方式隐藏ip地址。
代理服务器有自己的IP地址,可以作为你和互联网的中介。当互联网用户使用代理时,他们的互联网请求首先通过代理服务器连接到在线资源。当代理服务器收集到来自Web服务器的响应时,它会将其返回给用户,以确保更高级别的匿名性,因为它不会暴露用户的真实IP地址。
使用计算机连接开放的WiFi网络是隐藏IP地址的简单方法,然而,连接公共热点网络存在许多风险。举例来说,通常有很多未检查的连接。每次打开移动数据,您的IP地址都可以更改。这样你的流量就更难跟踪了。
ip地址
IP地址全称为网际协议地址,是一种在Internet上的给主机编址的方式。它是IP协议提供的一种统一的地址格式,常见的IP地址分为IPv4与IPv6两大类,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。正是因为有了IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。因此,IP协议也可以叫做“因特网协议”。
很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个?
Netfilter/IPtables 的问题
在Linux中,可以很简单地用netfilter/iptables框架禁止IP地址:
$ sudo iptables -A INPUT -s 1111-p TCP -j DROP
如果你想要完全屏蔽一个IP地址段,你可以用下面的命令很简单地做到:
$ sudo iptables -A INPUT -s 1120/24-p TCP -j DROP
然而,当你有1000个独立IP地址,且不带CIDR(无类别域间路由)前缀,你该怎么做?你要有1000条iptable规则!这显然这并不适于大规模屏蔽。
$ sudo iptables -A INPUT -s 1111-p TCP -j DROP
$ sudo iptables -A INPUT -s 2222-p TCP -j DROP
$ sudo iptables -A INPUT -s 3333-p TCP -j DROP
什么是IP集
这时候就是IP集登场了。IP集是一个内核特性,它允许多个(独立)IP地址、MAC地址或者甚至是端口号被编码和有效地存储在位图/哈希内核数据结构中。一旦IP集创建之后,你可以创建一条iptables规则来匹配这个集合。
你马上就会看见IP集合的好处了,它可以让你用一条iptable规则匹配多个ip地址!你可以用多个IP地址和端口号的方式来构造IP集,并且可以动态地更新规则而没有性能影响。
在Linux中安装IPset工具
为了创建和管理IP集,你需要使用称为ipset的用户空间工具。
要在Debian、Ubuntu或者Linux Mint上安装:
$ sudo apt-get install ipset
Fedora或者CentOS/RHEL 7上安装:
$ sudo yum install ipset
使用IPset命令禁止IP
让我通过简单的示例告诉你该如何使用ipset命令。
首先,让我们创建一条新的IP集,名为banthis(名字任意):
$ sudo ipset create banthis hash:net
第二个参数(hash:net)是必须的,代表的是集合的类型。IP集有多个类型。hash:net类型的IP集使用哈希来存储多个CIDR块。如果你想要在一个集合中存储单独的IP地址,你可以使用hash:ip类型。
一旦创建了一个IP集之后,你可以用下面的命令来检查:
$ sudo ipset list
这显示了一个可用的IP集合列表,并有包含了集合成员的详细信息。默认上,每个IP集合可以包含65536个元素(这里是CIDR块)。你可以通过追加"maxelem N"选项来增加限制。
$ sudo ipset create banthis hash:net maxelem 1000000
现在让我们来增加IP块到这个集合中:
$ sudo ipset add banthis 1111/32
$ sudo ipset add banthis 1120/24
$ sudo ipset add banthis 1130/24
$ sudo ipset add banthis 11410/24
你会看到集合成员已经改变了。
$ sudo ipset list
以上上传到红联Linux系统教程频道中。
现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用"-m set --match-set "选项。
现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。可以通过下面的命令:
$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP
如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:
$ sudo ipset save banthis -f banthistxt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthistxt
上面的命令中,我使用了destory选项来删除一个已有的IP集来看看我是否可以还原它。
自动IP地址禁用
现在你应该看到了IP集合的强大了。维护IP黑名单是一件繁琐和费时的工作。实际上,有很多免费或者收费的服务可以来帮你完成这个。一个额外的好处是,让我们看看如何自动将IP黑名单加到IP集中。
首先让我们从https://wwwiblocklistcom/listsphp得到免费的黑名单,这个网站有不同的免费和收费的名单。免费的版本是P2P格式。
接下来我要使用一个名为iblocklist2ipset的开源Python工具来将P2P格式的黑名单转化成IP集。
首先,你需要安装了pip。
使用的下面命令安装iblocklist2ipset。
$ sudo pip install iblocklist2ipset
在一些发行版如Fedora,你可能需要运行:
$ sudo python-pip install iblocklist2ipset
现在到https://wwwiblocklistcom/listsphp,抓取任何一个P2P列表的URL(比如"level1"列表)。
粘帖URL到下面的命令中。
$ iblocklist2ipset generate \
--ipset banthis "http://listiblocklistcom/list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthistxt
上面的命令运行之后,你会得到一个名为banthistxt的文件。如果查看它的内容,你会看到像这些:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1240/24
add banthis 1280/24
add banthis 19758/32
add banthis 1996105/32
add banthis 19102251/32
add banthis 1918965/32
add banthis 11600/14
你可以用下面的ipset命令来加载这个文件:
$ sudo ipset restore -f banthistxt
现在可以查看自动创建的IP集:
$ sudo ipset list banthis
在写这篇文章时候,“level1”类表包含了237,000个屏蔽的IP列表。你可以看到很多IP地址已经加入到IP集中了。
最后,创建一条iptables命令来屏蔽这些坏蛋!
总结
这篇文章中,我描述了你该如何用强大的ipset来屏蔽不想要的IP地址。同时结合了第三方工具iblocklist2ipset,这样你就可以流畅地维护你的IP屏蔽列表了。那些对ipset的性能提升好奇的人,下图显示了iptables在使用和不使用ipset的基准测试结果(注意时间坐标轴)。
服务器一般很少会使用公网地址,直接放置在互联网上使用。
一般是设置成局域网的私网地址,并通过路由器的端口映射,发布在互联网;
内部的NAT转换,相当于隐藏了路由器,外网访问并不知道具体服务器的IP地址。
除了IP地址外,服务器还应该注意哪些信息安全问题呢?组网结构
在网络的出口,必须架设防火墙设备,避免将服务器直接暴露在互联网。
在防火墙上对服务器的访问作具体的限制,仅允许特定地址远程登录服务器;
并在防火墙上关闭多余的、不必要对外开放的服务端口。
服务器端设置
同样还是端口问题,服务器上开通的端口很容易被软件扫描出来;
对于各种非必要的端口可以关闭,必须开启的端口业务,也可以通过更换端口来实现;
特备是一些测试服务器,安全没有满足需求就开始测试各种业务,很容易出现问题。
管理问题
包括服务器的账号、密码管理,人员登录、远程连接制度等等;
是否开启了服务器日志功能,重大设置变化是否有报警机制;
对于服务器的端口、网络接口等是否有对应的管理办法。
关于服务器的信息安全问题,还需要注意哪些方面?
欢迎大家留言讨论,喜欢的点点关注。
不一定要采用apache禁止IP访问,软件防火墙就可以禁止某些IP地址访问你的服务器。
apache的方法为:
1停止apche的服务
2备份apche当前的配置文件/<apche_Home>/conf/httpdconf,注意<apche_Home>代表了apche的安装目录
3用文本编辑器打开文件/<apche_Home>/conf/httpdconf,查找如下的内容:
order allow,deny
allow from all
4在“allow from all”后面添加一行“deny from <IP_WantToDeny>”,其中<IP_WantToDeny>表示要屏蔽的IP地址,比如:要屏蔽1632365430那么应该写成:
order allow,deny
allow from all
deny from 1632365430
0条评论