Chinaunix首页 | 论坛 | 博客
  • 博客访问: 384099
  • 博文数量: 114
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1219
  • 用 户 组: 普通用户
  • 注册时间: 2015-02-07 21:23
文章分类

全部博文(114)

文章存档

2018年(1)

2017年(5)

2016年(87)

2015年(21)

我的朋友

分类: 系统运维

2017-03-12 18:21:22


  1. ipset介绍
  2. iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptables是linux从2.4版本引入的防火墙解决方案.
  3. ipset是iptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找.
  4. 除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.
  5. 官网:http://ipset.netfilter.org/

  6. 使用ipset或者用epel yum源yum安装
  7. 1、安装
  8. rpm -ivh libmnl-devel-1.0.2-3.el6.x86_64.rpm libmnl-1.0.2-3.el6.x86_64.rpm
  9. tar xvf ipset-6.24.tar.bz2
  10. cd ipset-6.24
  11. ./configure
  12. make
  13. make install

  14. #注意:
  15. 如果在centos6.6或其他情况下安装时候,configure报错如下
  16. configure: error: Invalid kernel source directory /lib/modules/2.6.32-358.el6.x86_64/source
  17. 解决:需要安装内核源码包kernel-devel-2.6.32-358.el6.x86_64.rpm
  18. 2、创建一个新的ipset
  19. ipset create openapi hash:net
  20. 2.1、查看已创建的ipset
  21. 2.2、ipset默认可以存储65536个element,使用maxelem指定数量
  22. ipset create openapi hash:net maxelem 1000000
  23. ipset list
  24. 3、加入一个黑名单ip
  25. ipset add openapi 180.156.238.246
  26. 4、创建防火墙规则,与此同时,openapi这个ipset里的ip都无法访问22端口
  27. iptables -I INPUT -m set --match-set openapi src -p tcp --destination-port 22 -j DROP
  28. service iptables save
  29. 5、去除黑名单,与此同时,又可以访问了
  30. ipset del openapi 180.156.238.246
  31. 6、将ipset规则保存到文件
  32. ipset save openapi -f openapi.txt
  33. 7、删除ipset
  34. ipset destroy openapi
  35. 8、导入ipset规则
  36. ipset restore -f openapi.txt

  37. 注意:
  38. 1、ipset的一个优势是集合可以动态的修改,即使iptables的规则正在使用这个集合

阅读(881) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~