ipset - linux防火墙的扩展 -w787815-ChinaUnix博客

w787815的ChinaUnix博客

首页　| 　博文目录　| 　关于我

w787815

博客访问： 370165
博文数量： 114
博客积分： 0
博客等级：民兵
技术积分： 1219
用户组：普通用户
注册时间： 2015-02-07 21:23

文章分类

全部博文（114）

JVM（1）
python（0）
集群（5）
Linux 命令（4）
Shell（29）
Linux性能分析（5）
马哥linux（1）
Linux运维（17）
oldboy（3）
Huawei（6）
HTTP（8）
Mysql（7）
Cisco（6）
Nagios（9）
ipsec vpn（4）
DNS（1）
Extmail（8）
未分配的博文（0）

文章存档

2018年（1）

2017年（5）

2016年（87）

2015年（21）

我的朋友

zhongcao

相关博文

ipset - linux防火墙的扩展

分类：系统运维

2017-03-12 18:21:22

ipset介绍
iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptables是linux从2.4版本引入的防火墙解决方案.
ipset是iptables的扩展,它允许你创建匹配整个地址sets（地址集合）的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找.
除了一些常用的情况,比如阻止一些危险主机访问本机，从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.
官网：http://ipset.netfilter.org/
使用ipset或者用epel yum源yum安装
1、安装
rpm -ivh libmnl-devel-1.0.2-3.el6.x86_64.rpm libmnl-1.0.2-3.el6.x86_64.rpm
tar xvf ipset-6.24.tar.bz2
cd ipset-6.24
./configure
make
make install
#注意：
如果在centos6.6或其他情况下安装时候，configure报错如下
configure: error: Invalid kernel source directory /lib/modules/2.6.32-358.el6.x86_64/source
解决：需要安装内核源码包kernel-devel-2.6.32-358.el6.x86_64.rpm
2、创建一个新的ipset
ipset create openapi hash:net
2.1、查看已创建的ipset
2.2、ipset默认可以存储65536个element，使用maxelem指定数量
ipset create openapi hash:net maxelem 1000000
ipset list
3、加入一个黑名单ip
ipset add openapi 180.156.238.246
4、创建防火墙规则，与此同时，openapi这个ipset里的ip都无法访问22端口
iptables -I INPUT -m set --match-set openapi src -p tcp --destination-port 22 -j DROP
service iptables save
5、去除黑名单，与此同时，又可以访问了
ipset del openapi 180.156.238.246
6、将ipset规则保存到文件
ipset save openapi -f openapi.txt
7、删除ipset
ipset destroy openapi
8、导入ipset规则
ipset restore -f openapi.txt
注意：
1、ipset的一个优势是集合可以动态的修改，即使iptables的规则正在使用这个集合

阅读(815) | 评论(0) | 转发(0) |

上一篇：Linux使用netstat命令查看并发连接数

下一篇：shell常用脚本参考

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6