阻止 IP 地址範圍

我正受到來自中國的黑客攻擊的轟炸，這些黑客都擁有類似的 IP。

我將如何使用 116.10.191.* 等內容阻止 IP 範圍？

我正在執行 Ubuntu Server 13.10。

我正在使用的目前行是：

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

這只能讓我一次阻止每一個，但黑客每次嘗試都會更改 IP。

要阻止 116.10.191.* 地址：

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

要阻止 116.10.. 地址：

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

要阻止 116...* 地址：

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

但要小心使用此方法阻止的內容。您不想阻止合法流量到達主機。

編輯：正如所指出的，iptables 按順序評估規則。規則集中較高的規則在規則集中較低的規則之前應用。因此，如果您的規則集中有更高的規則允許所述流量，那麼附加 ( iptables -A) DROP 規則將不會產生預期的阻止結果。在這種情況下，插入 ( iptables -I) 規則：

• 作為第一條規則

sudo iptables -I ...

• 或在允許規則之前

sudo iptables --line-numbers -vnL

假設顯示規則編號 3 允許 ssh 流量，並且您想要阻止 ssh 的 IP 範圍。-I接受一個整數參數，該參數是您希望插入新規則的規則集中的位置

iptables -I 2 ...

引用自：https://serverfault.com/questions/592061