警告：本文为理论指导手册，所有示例命令均需验证后使用。生产环境请谨慎操作！一、命令规范与最佳实践1. 参数规范建议# 旧写法（某些系统可能报错） iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 新写法（推荐显式指定模块） iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT2. 在线工具推荐iptables 命令生成器：https://cmdgenerator.org/zh/cmd-generators/iptables二、核心参数修正版匹配条件参数（带模块声明）条件参数模块依赖正确写法示例--dport-m tcp/udp-p tcp -m tcp --dport 80--sport-m tcp/udp-p udp -m udp --sport 53--state-m state-m state --state ESTABLISHED--ctstate-m conntrack-m conntrack --ctstate NEW--mac-source-m mac-m mac --ma

本文将指导您如何通过iptables和ipset结合AbuseIPDB的IP黑名单，自动更新并阻止恶意IP地址的扫描和攻击。此方法可以有效减少VPS上的恶意流量，提升服务器的安全性。准备工作在开始之前，请确保您的VPS已经安装了iptables和ipset。如果没有安装，可以通过以下命令进行安装：sudo apt-get update sudo apt-get install iptables ipset创建脚本我们将创建两个脚本：一个用于在系统启动时初始化防火墙规则，另一个用于定期更新IP黑名单。1. 启动时初始化脚本在/root/cron/ban_at_boot.sh中创建以下脚本：#!/bin/bash cd /root/cron sleep 10 # 等待Docker等服务启动 # 创建ipset集合 ipset create banned_ips hash:ip hashsize 65536 maxelem 1000000 # 创建并应用iptables规则 iptables -N BANNED iptables -I FORWARD -j BANNED iptable