歡迎來到3WA問題解決專家工作室

本站一定要打開 javascript 才可以正常瀏覽呦

防火牆設置清單

提供一些黑名單 IP，設定防火牆 Ban 除名單

羽山之前利用 apache log 收集了不少嘗試入侵主機的黑名單 IP，提供 windows + linux 設置語法供伺服器、防火牆主機使用

BAN IP CSV: 黑名單 IP https://3wa.tw/myapache_banip/data/banip_csv.txt

Windows 設定	Linux 設定
下載：my_ban_ips.ps1 # 以下內容請儲成 👉 C:\temp\my_ban_ips.ps1（⚠ 副檔名一定要 .ps1） # 1. 初次執行，允許下載 banip_csv.txt 權限 # Set-ExecutionPolicy RemoteSigned (選 Y) # 2. 後續執行，使用系統管理員執行 cmd 然後 # powershell -ExecutionPolicy Bypass -File C:\temp\my_ban_ips.ps1 # 或者 # 3. 使用系統管理員啟動 powershell # powershell -ExecutionPolicy Bypass -File C:\temp\my_ban_ips.ps1 # 或者 # 4. 使用系統管理員啟動 powershell # Unblock-File C:\temp\my_ban_ips.ps1 # C:\temp\my_ban_ips.ps1 # 2、3、4 擇一使用即可 # 如果要移除此規則 # 使用系統管理員執行 Powershell # Remove-NetFirewallRule -DisplayName "Block Bad IPs" $ruleName = "Block Bad IPs" $url = "https://3wa.tw/myapache_banip/data/banip_csv.txt" $tmpFile = "C:\temp\banip_csv.txt" # 建 temp 目錄 if (!(Test-Path "C:\temp")) { New-Item -ItemType Directory -Path "C:\temp" } # 下載 IP 清單 Invoke-WebRequest -Uri $url -OutFile $tmpFile # 讀取並整理 IP（去空白、去空行） $ips = Get-Content $tmpFile \| ForEach-Object { $_.Trim() } \| Where-Object { $_ -ne "" } # 檢查規則是否存在 if (Get-NetFirewallRule -DisplayName $ruleName -ErrorAction SilentlyContinue) { Write-Host "Updating firewall rule..." Set-NetFirewallRule ` -DisplayName $ruleName ` -RemoteAddress $ips } else { Write-Host "Creating firewall rule..." New-NetFirewallRule ` -DisplayName $ruleName ` -Direction Inbound ` -Action Block ` -RemoteAddress $ips } Write-Host "Done. Total IPs:" $ips.Count	下載：my_ban_ips.sh #!/usr/bin/bash # 1. 安裝所需套件 # sudo apt install -y ipset iptables curl # 2. 本檔案內容存成：/root/my_ban_ips.sh # curl "https://3wa.tw/myapache_banip/my_ban_ips.sh" -o /root/my_ban_ips.sh # 3. 給執行權限 # chmod +x /root/my_ban_ips.sh # 4. 手動執行一次 # sudo /root/my_ban_ips.sh # 5. 檢查結果 # 看 ipset 內容： # ipset list blacklist # 看 iptables 規則： # iptables -L INPUT -n --line-numbers # 你應該會看到類似： # match-set blacklist src DROP # 6. 設定自動更新 # 最簡單先用 crontab。 # 編輯 root 的排程： # crontab -e # 每 10 分鐘跑一次： # /10 * * * /root/my_ban_ips.sh >> /var/log/my_ban_ips.log 2>&1 # 7. 如果要移除這套規則 # 先刪 iptables 規則： # iptables -D INPUT -m set --match-set blacklist src -j DROP # 再刪 ipset： # ipset destroy blacklist # 如果還有排程，也一起刪： # crontab -e # 把那行移掉。 set -euo pipefail SET_NAME="blacklist" RULE_COMMENT="Block bad IPs from remote list" URL="https://3wa.tw/myapache_banip/data/banip_csv.txt" TMP_FILE="/tmp/banip_csv.txt" TMP_RESTORE="/tmp/ipset_restore.txt" # 下載清單 curl -fsSL "$URL" -o "$TMP_FILE" if [ ! -s "$TMP_FILE" ]; then echo "Download failed or file is empty" exit 1 fi # 建立暫時 restore 檔 { echo "create ${SET_NAME}_new hash:ip family inet hashsize 4096 maxelem 65536 -exist" while IFS= read -r line; do ip="$(echo "$line" \| tr -d '\r' \| xargs)" [ -z "$ip" ] && continue # 如果你的檔案其實是 csv: 1.2.3.4,reason # 可改成： # ip="$(echo "$line" \| cut -d',' -f1 \| tr -d '\r' \| xargs)" if [[ "$ip" =~ ^([0-9]{1,3}\.){3}[0-9]{1,3}$ ]]; then echo "add ${SET_NAME}_new $ip" fi done < "$TMP_FILE" } > "$TMP_RESTORE" # 載入新 set ipset restore < "$TMP_RESTORE" # 若正式 set 不存在，先建立 ipset create "$SET_NAME" hash:ip family inet hashsize 4096 maxelem 65536 -exist # 原子替換 ipset swap "${SET_NAME}_new" "$SET_NAME" # 清理暫存 set ipset destroy "${SET_NAME}_new" 2>/dev/null \|\| true # 確保 iptables 規則存在 if ! iptables -C INPUT -m set --match-set "$SET_NAME" src -j DROP 2>/dev/null; then iptables -I INPUT -m set --match-set "$SET_NAME" src -j DROP fi COUNT=$(ipset list "$SET_NAME" \| awk '/Number of entries:/ {print $4}') echo "Done. Total blocked IPs: ${COUNT:-0}"
執行展示：	執行展示：
如果希望移除這條檔 IP 的規則用系統管理員執行 Powershell ✅ 直接移除 Remove-NetFirewallRule -DisplayName "Block Bad IPs" ✅ 確認有沒有刪掉 Get-NetFirewallRule -DisplayName "Block Bad IPs" 👉 如果沒有任何輸出 = 已成功刪除 ✔	如果希望移除這條檔 IP 的規則 # 切換到 root sudo su - # 先刪 iptables 規則： iptables -D INPUT -m set --match-set blacklist src -j DROP # 再刪 ipset： ipset destroy blacklist # 如果還有排程，也一起刪： crontab -e # 把那行移掉