利用ipset命令添加访问IP白名单
l3492za1.png
前言
ipset是iptables的扩展,允许你创建匹配整个地址sets(地址集合)的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种集合比较大也可以进行高效的查找。在许多的linux发布中ipset是一个简单的安装包,可以通过linux发行版提供的yum进行安装。
ipset基本使用
创建黑名单
ipset create blacklist hash:ip timeout 259200 hashsize 4096 maxelem 1000000查看列表
ipset list blacklist清空列表
ipset flush blacklist //清空blacklist列表
ipset flush //清空所有列表删除列表
ipset destroy blacklist //删除blacklist列表
ipset destroy //删除所有列表列表导入导出
ipset save blacklist -f blacklist.txt #将规则导出为文件
ipset restore -f blacklist.txt #将规则导入ipset向黑名单添加ip
ipset add blacklist 1.1.1.1向黑名单添加IP段
ipset add blacklist 172.18.16.0/24
ipset add blacklist 172.18.16.55 nomatch //排除单个IP
ipset add blacklist 172.18.16.0/30 nomatch //排除一个范围向黑名单添加带端口范围的IP
ipset add blacklist 10.10.10.10:80
ipset add blacklist 10.10.10.10,udp:53
ipset add blacklist 10.10.10.10,tcp:20-25删除黑名单中的ip/ip段/端口
ipset del blacklist 1.1.1.1
ipset del blacklist 10.10.10.10:80
ipset del blacklist 10.10.10.10,udp:53iptables设置
添加iptables规则
iptables -I INPUT -m set --match-set blacklist src -j DROP黑名单用法
iptables -A INPUT -p tcp -m set --match-set blacklist src -m tcp --dport 80 -j DROP白名单用法
iptables -A INPUT -p tcp -m set --match-set whitelist src -m tcp --dport 3306 -j ACCEPT其他
iptables 不重启更新规则
#添加规则
iptables -I INPUT 5 -p tcp -m tcp --dport 3001 -j ACCEPT
#重启生效,保存文件
vim /etc/sysconfig/iptables
#删除
iptables -D INPUT -p tcp -m tcp --dport 3001 -j ACCEPT本文共 245 个字数,平均阅读时长 ≈ 1分钟
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。