iptables配置IP地址白名单放行百度云CDN加速

背景:使用vps性能不是太好,总是有恶意的访问增加流量,而此时呢,想用云加速,但一加速就被iptables分析日志干成黑名单了,有时一访问太快了给nginx拒绝了,实现方法见Url:http://justwinit.cn/post/7671/ 。如何防止误伤到去加速呢,百度提供出了他们的IP地址,我们可以用白名单写入到iptables里于是就好了。

实践证明:
https://justwinit.cn 没法加速Https(不加速透传也成),不想加速,只加速:http://justwinit.cn 和http://www.justwinit.cn都是没有问题,但我要管理用https,经过加速后没法访问,这块暂时不用云加速。

关于iptable如何在开机启动和crontab里放入自动把某些IP及端口打开或扔进防火墙的链接如下:
http://justwinit.cn/post/7782/

编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能
#vim /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-N whitelist
-A whitelist -s 1.2.3.0/24 -j ACCEPT
-A whitelist -s 4.5.6.7 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j whitelist
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
6~8 行是添加白名单列表,可以是ip段或者单个ip地址
10~12行 注意的是“-j whitelist”而不是“-j ACCEPT”,前者将该端口访问权限限制在白名单内,后者为不限制
13行 任何ip地址都能ping通该主机,因为“-j ACCEPT”没有做相应限制

配置完毕后,运行命令重启防火墙使规则生效
#systemctl restart iptables.service
上述摘自:http://blog.chinaunix.net/uid-13344516-id-4573922.html

实践如下:
百度云加速列表写成iptables白名单如下,这样就可以防止iptables分析Http请求日志时把它过滤掉:
好像会报254错,但写成24就没错了:

  1. iptables -A whitelist -s 119.188.132.68 -j ACCEPT
  2. iptables -A whitelist -s 119.188.132.67 -j ACCEPT
  3. iptables -A whitelist -s 61.182.137.6 -j ACCEPT
  4. iptables -A whitelist -s 117.34.28.77 -j ACCEPT
  5. iptables -A whitelist -s 117.34.28.78 -j ACCEPT
  6. iptables -A whitelist -s 61.155.149.78 -j ACCEPT
  7. iptables -A whitelist -s 61.155.149.79 -j ACCEPT
  8. iptables -A whitelist -s 222.216.190.62 -j ACCEPT
  9. iptables -A whitelist -s 222.216.190.63 -j ACCEPT
  10. iptables -A whitelist -s 183.60.235.0/254 -j ACCEPT
  11. iptables -A whitelist -s 61.182.137.0/254 -j ACCEPT
  12. iptables -A whitelist -s 222.216.190.0/254 -j ACCEPT
  13. iptables -A whitelist -s 119.188.14.0/254 -j ACCEPT
  14. iptables -A whitelist -s 61.155.149.0 /254 -j ACCEPT
  15. iptables -A whitelist -s 119.188.132.0/254 -j ACCEPT
  16. iptables -A whitelist -s 117.34.28.0/254 -j ACCEPT
  17. iptables -A whitelist -s 42.236.7.0/254 -j ACCEPT

百度去加速的白名单来源:
http://yunjiasu.baidu.com/website/node/#domain=justwinit.cn
justwinit.cn 分配到的节点
地点  线路  IP
济南  联通  119.188.132.68
济南  联通  119.188.132.67
石家庄  联通  61.182.137.6
西安  电信  117.34.28.77
西安  电信  117.34.28.78
苏州  电信  61.155.149.78
苏州  电信  61.155.149.79
南宁  电信  222.216.190.62
南宁  电信  222.216.190.63
百度云加速所有的节点IP
地点  线路  IP段
佛山  电信  183.60.235.0 ~ 183.60.235.254
石家庄  联通  61.182.137.0 ~ 61.182.137.254
南宁  电信  222.216.190.0 ~ 222.216.190.254
济南  联通  119.188.14.0 ~ 119.188.14.254
苏州  电信  61.155.149.0 ~ 61.155.149.254
济南  联通  119.188.132.0 ~ 119.188.132.254
西安  电信  117.34.28.0 ~ 117.34.28.254
郑州  联通  42.236.7.0 ~ 42.236.7.254

关于ssl免费版本不支持的问题回复 AddTime:2015-02-03:
我问题:
https://justwinit.cn 没法加速Https(不加速透传也成),不想加速,只加速:http://justwinit.cn 是没有问题,但我要管理用https,你们没有给我转过支。
回复如下:
您好,目前的免费版本是不支持https的,后续收费版才会支持。

原创文章,转载请注明: 转载自笛声

本文链接地址: iptables配置IP地址白名单放行百度云CDN加速

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注