什么是ipset，以及如何简单使用ipset-xlzxlz2-ChinaUnix博客

xlzxlz2的ChinaUnix博客liuzhong.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

xlzxlz2

博客访问： 790034
博文数量： 264
博客积分： 592
博客等级：中士
技术积分： 1574
用户组：普通用户
注册时间： 2011-10-24 22:02

文章分类

全部博文（264）

Toolchain（2）
icmp（0）
3G（0）
shell（1）
OPWRT（4）

LUCI（1）
Linux应用程序开（10）
Wireless 80（0）
Linux平台开发（15）
工具软件（5）
网络芯片（3）
MIPs架构（1）
PowerPC架构（1）
编程技巧（1）
网络协议（15）

dhcp（3）
设备驱动（25）
uboot（10）
硬件接口（11）
linux内核（145）

led子系统（2）

邻居子系统（1）

中断子系统（2）

IP协议栈分析（18）

SKB管理（1）

Linux 路由（15）

Linux 网桥（16）

Linux PPP拨（4）

Linux QOS（28）

Linux netfi（39）
未分配的博文（15）

文章存档

2019年（2）

2018年（1）

2017年（1）

2016年（4）

2015年（14）

2014年（57）

2013年（88）

2012年（97）

我的朋友

相关博文

什么是ipset，以及如何简单使用ipset

分类： LINUX

2016-05-25 01:29:22

转：

前一段时间一直在折磨着如何优化我写的防火墙，因为iptables的规则实在太多，无意中发现ipset，感觉像遇到了大救星，后来在网上google了两天发现这个方面的资料少的极其的可怜，我到现在都很想问一句，这到底是为什么，今天在这边贴点使用ipset的小结，希望能给大家提供点方便，同时也希望大家平时也发扬一点精神，好了，废话不多说了，呵呵！
1.ipset 介绍（本人英语不是很好，所以有可能翻译的不是很准确）：
  在iptables中，如果我们去匹配多个IP地址的话就会写入多条iptables的规则（这些IP都是无规律性的），当如果需要匹配几百甚至上千个IP地址的话，那么性能就会受到严重的影响，ipset在这个方面做了很大的改善，其最主要是的在结构和规则的查找上面做了很大的改善，当出现上面的情况的时候，ipset对性能就始终稳定在一个相对值上。根据提供的测试结果表明，当规则在300-1500之间的时候其对性能的影响基本是水平线。所以当你的防火墙规则过多的时候不妨试试看。

2. 安装
这个就没什么可以说的了，到上面把程序下载下来，里面还有一个用户手册可以看看，别的就什么都没有了。

3. 下面介绍如何使用：
  (1). 首先ipset里面好多的命令是和iptables一样的，比如-F ，-X， -A， -nL等等，这样大家直接就可以试一试了。
(2). 用户如果什么都没有添加的话，这个时候ipset -nL 就会发现都是空的，什么都没有
(3)  这个时候我们试着添加一条自定义链，注意ipset没有默认的链的，要使用的话就必须自己先创建一个自定义链，如：
   ipset -N test_policy ipmap --network 192.168.100.1/255.255.255.0
         test_policy代表的是自定义链；ipmap 代表的是自定义链的类型； --network 192.168.100.1/255.255.255.0代表的是option,代表一个网段，还有别的一些
   option，在这边就不一一介绍了，手册里面都有。自定义链的创建都必须要满足上面的格式。
  (4)  自定义链创建好了后就需要在上面添加一些IP了，如：
   ipset -A  test_policy  192.168.100.1
      ipset -A  test_policy  192.168.100.2
      ipset -A  test_policy  192.168.100.3
      ipset -A  test_policy  192.168.100.4

      这个时候你ipset -nL就会看到：
   localhost:/usr/bin# ipset -nL
      Name: servers_1
      Type: ipmap
      References: 1
      Default binding:
      Header: from: 192.168.100.0 to: 192.168.100.255
      Members:
      192.168.100.1
      192.168.100.2
      192.168.100.3       192.168.100.4
      Bindings:

(5) 好，到这个时候我们ipset的自定义链就搞好了，这个时候要把他加到我们的iptables链里面，比如说加到FORWARD链里面：
   iptables -A FORWARD -m set --set test_policy src -j DROP
      当然也可以象我这样做：
   iptabs -N NEW_POLLICY
   iptables -A FORWARD -m set --set test_policy src -j NEW_POLLICY
      这里面需要说明的是src,也就是只是匹配的源地址，如果你需要匹配目的地址的话那么就写成dst

(6)我感觉到重点：
   1. 大家使用macipmap类型的时候，如果只需要匹配MAC的时候一定要使用参数：--matchunset ，如：
      ipset -N servers_mac_macipmap --network $LAN_IP/$LAN_NETMASK --matchunset
         其实就是这句：
      ipset -N servers_mac_macipmap --network ip/mask --matchunset
         我发现手册在这个方面写的不是很清楚，所以在这边特意的提醒一下。
      另外还有好多其他的settype我在这边就不一一的介绍了
   2.  在编译的时候注意大小字节序，我遇到这个问题的，呵呵，搞了半天，如果你设定的IP，看到的不是你想要的，估计就是这个问题了，嘿嘿！
      比如你ipset -A  test_policy  192.168.100.1，当ipset -nL 去看设定结果的时候看到的却是：192.168.100.51。
      至于怎么改，目前我程序不在手边，有机会我补上。
   3. ipset功能在做ip/mac绑定功能和防ARP攻击，是一个好的选择，建议可以试一试的。

阅读(2239) | 评论(0) | 转发(0) |

上一篇：iptables详解

下一篇：spin_lock详解

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6