ipset

ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找，除了一些常用的情况,比如阻止一些危险主机访问本机，从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置

最后更新 2019-08-15 21:01:39
合作编辑者如下：张映

有误，我来改正
(0)

正确
(0)

收藏
(0)

1，封禁ip全过程

# ipset create blacklist hash:ip
# ipset add blacklist 3.3.3.3
# ipset add blacklist 2.2.2.2
# ipset add blacklist 1.1.1.1
# ipset list blacklist 
# iptables -I INPUT -m set --match-set blacklist src  -p tcp -j DROP

最后更新 2019-08-15 21:01:39 - 合作编辑者如下：张映

有误，我来改正
(0)

正确
(6)

# ipset del blacklist 1.1.1.1     #删除IP
 
# ipset save blacklist -f blacklist.txt    #将ipset规则保存到文件

# ipset destroy blacklist    #删除ipset

# ipset restore -f blacklist.txt   #导入ipset规则

最后更新 2019-08-15 21:02:03 - 合作编辑者如下：张映

有误，我来改正
(0)

正确
(4)

# ipset create blacklist hash:net
# ipset add blacklist 1.2.3.0/24
# ipset add blacklist 1.2.3.0/30 nomatch   #执行完1.2.3.0/24 里 1.2.3.0/30 这部分，就不属于 blacklist 集合了
# ipset test blacklist 1.2.3.2    #执行结果：1.2.3.2 is NOT in set blacklist

最后更新 2019-08-15 21:02:32 - 合作编辑者如下：张映

有误，我来改正
(0)

正确
(4)

# ipset create blacklist hash:ip,port
# ipset add blacklist 3.4.5.6,80        #tcp80端口
# ipset add blacklist 5.6.7.8,udp:53    #udp53端口
# ipset add blacklist 1.2.3.4,80-86     #端口范围

最后更新 2019-08-15 21:02:51 - 合作编辑者如下：张映

有误，我来改正
(0)

正确
(4)

# ipset create blacklist hash:ip timeout 300  #默认300秒后删除
# ipset add blacklist 1.2.3.4
# ipset add blacklist 6.6.6.6 timeout 60   #60秒后删除

最后更新 2019-08-15 21:03:08 - 合作编辑者如下：张映

有误，我来改正
(0)

正确
(4)

评论（0）