ipset是iptables的扩展,它允许你创建匹配整个地址集合的规则。而不像iptables只能匹配单个ip，避免维护的ip条目过多导致速度变慢。而ipset让ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找，除了一些常用的情况,比如阻止一些危险主机访问本机，从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置。

二、ipset安装

1、ipset工具安装

yum install ipset-service

2、启动ipset，并设置开机自启

systemctl restart ipset
systemctl enable ipset

三、ipset的基本使用

# 创建一个名字为blacklist的黑名单集合(默认可以存储65535个元素)
# ipset create blacklist hash:net maxelem 1000000 # 黑名单
 
# 查看已创建的ipset
# ipset list

# 把ip加入到黑名单
# ipset add blacklist 10.0.0.2

# 把ip从黑名单移除
# ipset del blacklist 10.0.0.2

# 添加重复的ip不会报错<- exist>
# ipset -exist add blacklist 192.168.1.1

四、设置iptables（通过匹配ip可以有效缓解CC攻击）

# iptables -I INPUT -m set --match-set blacklist src -p tcp --destination-port 80 -j DROP

-m set      # 指定集合模块
--match-set # 指定为blacklist的集合

五、ipset的集合持久化

ipset所有的设定都是运行在内存中，如果ipset服务或者服务器重启了就会失效，所以需要进行下面的操作

1.手动执行持久化

service ipset save

2.设置ipset在停止前执行持久化(设置为YES)

grep -E '^#|^$' -v /etc/sysconfig/ipset-config
--

IPSET_SAVE_ON_STOP="yes"

--

六、ipset拓展操作

# 将ipset规则保存到文件
# ipset save blacklist -f blacklist.txt

# 删除ipset
# ipset destroy blacklist

# 导入ipset规则
# ipset restore -f blacklist.txt

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/188528.html原文链接：https://javaforall.cn

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

tcp/ip

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度

ipset iptables_怎么把黑名单变白名单

ipset iptables_怎么把黑名单变白名单

使用ipset设置iptables（黑/白）名单

一、ipset原理

二、ipset安装

1、ipset工具安装

2、启动ipset，并设置开机自启

三、ipset的基本使用

四、设置iptables（通过匹配ip可以有效缓解CC攻击）

五、ipset的集合持久化

1.手动执行持久化

2.设置ipset在停止前执行持久化(设置为YES)

六、ipset拓展操作

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐