linux中使用ipset iptables将某个国家ip加入SSH端口转发黑名单

#安装ipset
sudo apt-get -y install ipset
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone #下载国家IP段，这里以cn为例
sudo ipset -N cnip hash:net
for i in $(cat ./cn.zone ); do sudo ipset -A cnip $i; done #将IP段添加到cnip规则中
#创建iptables规则等
sudo iptables -A OUTPUT -p tcp -m state --state NEW -m set --match-set cnip dst -j REJECT
#切换到root
sudo -i
ipset save cnip -f /etc/iptables/ipset.conf #保存
iptables-save > /etc/iptables/iptables.conf #保存后请检查是否含有 -A OUTPUT -p tcp -m state --state NEW -m set --match-set cnip dst -j REJECT
#添加自动启动脚本
vim /etc/rc.local
	#在exit 0之前添加以下两行，保存退出
	sudo ipset restore -f /etc/iptables/ipset.conf
	sudo iptables-restore < /etc/iptables/iptables.conf
#重启
reboot