Home Explore Help
Register Sign In
Apq
/
jsproxy
mirror of https://github.com/EtherDream/jsproxy.git
1
0
Fork 0
Files Issues 0 Wiki
Tree: a7caf169e2
Branches Tags
jsproxy
/
setup-ipset.sh

setup-ipset.sh 681 B
History Raw

12345678910111213141516171819202122232425262728293031323334353637 
  1. # 需要 root 运行
    2. 

  2. ipset create ngx-ban-dstip hash:net
    3. 

  3. 

  4. # 该策略对 jsproxy 用户的所有程序都生效
    5. 

  5. iptables \
    6. 

  6.   -A OUTPUT \
    7. 

  7.   -p tcp --syn \
    8. 

  8.   -m owner --uid-owner jsproxy \
    9. 

  9.   -m set --match-set ngx-ban-dstip dst \
    10. 

  10.   -j REJECT
    11. 

  11. 

  12. # https://en.wikipedia.org/wiki/Reserved_IP_addresses
    13. 

  13. REV_NET=(
    14. 

  14.   0.0.0.0/8
    15. 

  15.   10.0.0.0/8
    16. 

  16.   100.64.0.0/10
    17. 

  17.   127.0.0.0/8
    18. 

  18.   169.254.0.0/16
    19. 

  19.   172.16.0.0/12
    20. 

  20.   192.0.0.0/24
    21. 

  21.   192.0.2.0/24
    22. 

  22.   192.88.99.0/24
    23. 

  23.   192.168.0.0/16
    24. 

  24.   198.18.0.0/15
    25. 

  25.   198.51.100.0/24
    26. 

  26.   203.0.113.0/24
    27. 

  27.   224.0.0.0/4
    28. 

  28.   240.0.0.0/4
    29. 

  29.   255.255.255.255/32
    30. 

  30. )
    31. 

  31. 

  32. for v in ${REV_NET[@]}; do
    33. 

  33.   ipset add ngx-ban-dstip $v
    34. 

  34. done
    35. 

  35. 

  36. # 可屏蔽更多的网段:
    37. 

  37. # ipset add ngx-ban-dstip xxx
    38.