freeswitch被外国IP攻击盗打的防护措施

SIP攻击很常见，特别是各大云服务器，基本上开了个公网IP绑定到实例机器就会被外国IP一遍怼。

防范也容易，就是把外国IP禁掉。

实现：iptables+ipset，只允许中国IP访问本机，也就实现了封禁国外IP的效果。

优点：匹配迅速，免去iptables单链匹配。

具体操作如下：

#安装ipset：
RedHat：yum install ipset
Debian：apt-get install ipset

#以下内容保存成脚本执行即可
》》》》》》》》
#!/bin/bash

#建表
ipset create china hash:net hashsize 10000 maxelem 1000000
rm -f cn.zone
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#批量增加中国IP到ipset的china表
for i in `cat cn.zone`
do
    ipset add china $i 
done
#ipset命令建表和插IP数据都是直接写内存，所以需要让内存的数据本地持久化且开机时重载回内存，各发行版的服务调用命令可能不太一样，这里用Redhat系列的命令
service ipset save  
chkconfig ipset on

《《《《《《《《

ipset list china #查看一下


#iptables的filter表INPUT链根据需求加入相应的规则，以下是实例
#全部接受中国IP
-A INPUT -m set --match-set china src -j ACCEPT
#接受中国IP访问本机特定端口特定协议（例如5060UDP协议），freeswitch一般要用这条，直接具体到端口协议
-A INPUT -m set --match-set china src -p udp -m udp --dport 5060 -j ACCEPT
#接受中国IP的ping响应
-A INPUT -m set --match-set china src -p icmp -j ACCEPT

针对小白用户，不太会用iptables，贴上简易配置用法

把以下内容写到 /etc/sysconfig/iptables 文件里

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m set --match-set china src -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 16384:32768 -j ACCEPT
-A INPUT -s 172.16.0.0/24 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT

里面的172.16.0.0/24是内网网段，根据实际填写，切记要加上这句，不加就把自己都挡住了。

执行 service iptables restart     即可开起来iptables

 service iptables status     检查下状态 

PS：最好定期更新一下中国IP段，再加到ipset的china表就行，或者执行一下上面提到的那个脚本也行。

有疑问请留言。

最后

以上就是大气鸡为你收集整理的freeswitch被外国IP攻击盗打的防护措施的全部内容，希望文章能够帮你解决freeswitch被外国IP攻击盗打的防护措施所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。