centos7查看本机ip

作者：geek玩物

网络安全有一句话“当攻击成本大于收益时，你的系统就是安全的”

对于我们这种普通用户来说，收益甚微。只配使用脚本攻击，也就是说只要提高脚本小子的攻击成本就能够那么我们的内网设备就是相对安全的。

对于我个人而言，我是很不喜欢直接将内网设备直接暴露在公网中的。比如直接暴露端口到公网或者通过frp/nps工具间接的将端口暴露到公网中。这意味着所有人都可以可以访问位于内网中的设备，若是密码强度不够脚本小子就可以暴力破解密码登陆你的内网设备

对此我都是通过诸如像“Zerotier“之类的虚拟局域网工具。只暴露一个端口，用高强度公私钥提高攻击成本来确保相对安全。但是虚拟局域网工具对于家庭成员使用起来过于麻烦，直接网址就能访问的方式对于不懂电脑的家庭成员来说是最优解。那如何保证直接暴露在公网的内网设备安全了？在内网穿透第三篇教程里，通过nginx配置双向ssl来拒绝非授权用户访问内网设备。但是大部分的app都不支持自定义ssl双向认证因此被拒绝访问，只能通过浏览器访问时才能使用双向ssl。不能使用app，假设在内网的nas使用体验直接砍半。

还是那句话：提高攻击成本来抵御攻击。通过这几年云主机的使用经验来说，大部分的暴力破解尝试登陆都是来自国外ip，来自国内的ip几乎没有。因此屏蔽国外ip访问，只允许国内ip访问就能杜绝大部分脚本小子的攻击。

此教程针对性 centos6，centos7，ubuntu系统。

基本原理

通过设置防火墙白名单，仅仅允许白名单内ip入站，来允许我们希望的ip访问服务器。当我们把国内的ip段加载到白名单时就能实现屏蔽国外ip的作用。

安装ipset

#Debian/Ubuntu系统
apt-get -y install ipset

#CentOS系统
yum -y install ipset

新建一个allcn.sh文件，并复制下列内容到其中。服务器切换到root用户，并将allcn.sh文件上传到/root目录，之后允许命令“chmod +x allcn.sh”。如果你用家里的服务器，请在#放行局域网地址下面加入自己的内网地址段。

之后用root权限执行命令“/root/allcn.sh“就能屏蔽国外ip，执行“/root/allcn.sh stop“停止屏蔽国外ip。

#! /bin/bash

#判断本次运行时间

#判断是否具有root权限

root_need() {

if [[ $EUID -ne 0 ]]; then

echo "Error:This script must be run as root!" 1>&2

exit 1

fi

}

#检查系统分支及版本(主要是：分支->>版本>>决定命令格式)

check_release() {

if uname -a | grep el7  ; then

release="centos7"

elif uname -a | grep el6 ; then

release="centos6"

yum install ipset -y

elif cat /etc/issue |grep -i ubuntu ; then

release="ubuntu"

apt install ipset -y

fi

}

#安装必要的软件(wget),并下载中国IP网段文件(最后将局域网地址也放进去)

get_china_ip() {

#安装必要的软件(wget)

rpm --help >/dev/null 2>&1 && rpm -qa |grep wget >/dev/null 2>&1 ||yum install -y wget ipset >/dev/null 2>&1

dpkg --help >/dev/null 2>&1 && dpkg -l |grep wget >/dev/null 2>&1 ||apt-get install wget ipset -y >/dev/null 2>&1

#该文件由IPIP维护更新，大约一月一次更新(也可以用我放在国内的存储的版本，2019-05-18日版)

[ -f china_ip_list.txt ] && mv china_ip_list.txt china_ip_list.txt.old

wget https://github.com/17mon/china_ip_list/blob/master/china_ip_list.txt

cat china_ip_list.txt |grep 'js-file-line">' |awk -F'js-file-line">' '{print $2}' |awk -F'> china_ip.txt

rm -rf china_ip_list.txt

#wget https://www.321dz.com/shell/china_ip.txt

#放行局域网地址

echo "192.168.0.0/18" >> china_ip.txt

echo "10.0.0.0/8" >> china_ip.txt

echo "172.16.0.0/12" >> china_ip.txt

}

#只允许国内IP访问

ipset_only_china() {

echo "ipset create whitelist-china hash:net hashsize 10000 maxelem 1000000" > /etc/ip-black.sh

for i in $( cat china_ip.txt )

do

echo "ipset add whitelist-china $i" >> /etc/ip-black.sh

done

echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/ip-black.sh

#拒绝非国内和内网地址发起的tcp连接请求（tcp syn 包）（注意，只是屏蔽了入向的tcp syn包，该主机主动访问国外资源不用影响）

echo "iptables  -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/ip-black.sh

#拒绝非国内和内网发起的ping探测（不影响本机ping外部主机）

echo "iptables  -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/ip-black.sh

#echo "iptables -A INPUT -j DROP" >> /etc/ip-black.sh

rm -rf china_ip.txt

}

run_setup() {

chmod +x /etc/rc.local

sh /etc/ip-black.sh

rm -rf /etc/ip-black.sh

#下面这句主要是兼容centos6不能使用"-f"参数

ipset save whitelist-china -f /etc/ipset.conf || ipset save whitelist-china > /etc/ipset.conf

[ $release = centos7 ] && echo "ipset restore -f /etc/ipset.conf" >> /etc/rc.local

[ $release = centos6 ] && echo "ipset restore < /etc/ipset.conf" >> /etc/rc.local

echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/rc.local

echo "iptables  -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/rc.local

echo "iptables  -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/rc.local

#echo "iptables -A INPUT -j DROP" >> /etc/rc.local

}

main() {

check_release

get_china_ip

ipset_only_china

case "$release" in

centos6)

run_setup

;;

centos7)

chmod +x /etc/rc.d/rc.local

run_setup

;;

ubuntu)

sed -i '/exit 0/d' /etc/rc.local

run_setup

echo "exit 0" >> /etc/rc.local

;;

esac

}

main

脚本执行完成后就可以禁止国外ip访问服务器了，我使用一个新加坡的vps访问腾讯云华南区的云服务可以看到没办法访问。

由于对应国家ip段是会发生变化的，所以需要定时更新，所以需要加入定时任务。ip段库是一个月更新一次的，所以我们让脚本一个月执行一次就好了。执行命令“vim /etc/crontab“。按住i键，将下面这行复制到文件的最后一行。按esc键，输入”:wq!“保存退出。执行命令”crontab /etc/crontab“使得计划任务生效。

*  *    * 1 *   root    bash /root/allcn.sh

应萧善1247centos7 命令行记录在哪个log -
左肤话17074626835 ______ CentOS中查看yum安装软件日志的方法:tail /var/log/yum.log查看yum使用的历史记录的方法:yum history info

应萧善1247centos7怎么设置自动获取ip -
左肤话17074626835 ______ 1.输入“ip addr”并按回车键确定,发现无法获取IP(CentOS 7默认没有ifconfig命令),记录下网卡名称(本例中为ens33). 2.输入“cd /etc/sysconfig/network-scripts/”按回车键确定,继续输入“ls”按回车键查看文件.

应萧善1247CentOS 7打开后什么都没有,说localhost login -
左肤话17074626835 ______ 这一步是要你输入用户名,接着敲密码,密码敲得时候是看不见的,敲对后它就进入linux系统里了

应萧善1247如何在centos或rhel7上修改主机名 -
左肤话17074626835 ______ 在CentOS或RHEL中,有三种定义的主机名:a、静态的(static),b、瞬态的(transient),以及 c、灵活的(pretty).“静态”主机名也称为内核主机名,是系统在启动时从/etc/hostname自动初始化的主机名.“瞬态”主机名是在系统运行时...

应萧善1247centos7 怎么修改主机名 -
左肤话17074626835 ______ hostnamectl set-hostname (跟上你想修改的名字) 或者你可以用nmtui命令,最后一个就是修改主机名 然后reboot机器,就可以配置完成了

应萧善1247centos 7怎么样查看网卡UUID - Linux新手园地 -
左肤话17074626835 ______ centos 7查看网卡uuid nmcli con show如果需要看mac地址 nmcli device show [interface]

应萧善1247centos7没有ifconfig命令该怎么办 -
左肤话17074626835 ______ 1、输入【yum search ifconfig】命令,查看ifconfig所属命令包是net-tools.x86_64 2、【yum install net-tools.x86_64】安装命令包,中途会询问“Is this os [y/d/n]”,按y回车,Complete完成安装. 3、输入【ifconfig】查看安装成果

应萧善1247centos 7怎么修改默认运行级别 -
左肤话17074626835 ______ 1)查看当前运行的级别# runlevel [root@chezhi chezhi]# runlevel N 3 [root@chezhi chezhi]# 如果系统当前默认运行级别是图形GUI模式则runlevel 显示结果为: 5 32)修改开机默认运行级别 systemd使用链接来指向默认的运行级别,由/etc/...

应萧善1247centos设置主机名 linux怎么设置主机名 -
左肤话17074626835 ______ 在CentOS中,有三种定义的主机名:静态的(static),瞬态的(transient),和灵活的(pretty).“静态”主机名也称为内核主机名,是系统在启动时从/etc/hostname自动初始化的主机名.“瞬态”主机名是在系统运行时临时分配的主机名,...

应萧善1247CentOS 7中PHP配置文件php.ini的放在哪个位置 -
左肤话17074626835 ______ 使用whereis php.ini 查找即可;查找的是脚本文件(执行文件)which filename 查找的是二进制的文件(执行文件)whereis -b filename 查找特定文件 whereis filename