linux ipset 命令,什么是ipset，以及如何简单使用ipset，

大家好，又见面了，我是你们的朋友全栈君。

前一段时间一直在折磨着如何优化我写的防火墙，因为iptables的规则实在太多，无意中发现ipset，感觉像遇到了大救星，后来在网上google了两天发现这个方面的资料少的极其的可怜，我到现在都很想问一句，这到底是为什么，今天在这边贴点使用ipset的小结，希望能给大家提供点方便，同时也希望大家平时也发扬一点精神，好了，废话不多说了，呵呵！

1.ipset 介绍(本人英语不是很好，所以有可能翻译的不是很准确)：

在iptables中，如果我们去匹配多个IP地址的话就会写入多条iptables的规则(这些IP都是无规律性的)，当如果需要匹配几百甚至上千个IP地址的话，那么性能就会受到严重的影响，ipset在这个方面做了很大的改善，其最主要是的在结构和规则的查找上面做了很大的改善，当出现上面的情况的时候，ipset对性能就始终稳定在一个相对值上。根据提供的测试结果表明，当规则在300-1500之间的时候其对性能的影响基本是水平线。所以当你的防火墙规则过多的时候不妨试试看。

2. 安装

这个就没什么可以说的了，到http://ipset.netfilter.org/上面把程序下载下来，里面还有一个用户手册可以看看，别的就什么都没有了。

3. 下面介绍如何使用：

(1). 首先ipset里面好多的命令是和iptables一样的，比如-F ，-X， -A， -nL等等，这样大家直接就可以试一试了。

(2). 用户如果什么都没有添加的话，这个时候ipset -nL 就会发现都是空的，什么都没有

(3) 这个时候我们试着添加一条自定义链，注意ipset没有默认的链的，要使用的话就必须自己先创建一个自定义链，如：

ipset -N test_policy ipmap –network 192.168.100.1/255.255.255.0

test_policy代表的是自定义链；ipmap 代表的是自定义链的类型； –network 192.168.100.1/255.255.255.0代表的是option,代表一个网段，还有别的一些

option，在这边就不一一介绍了，手册里面都有。自定义链的创建都必须要满足上面的格式。

(4) 自定义链创建好了后就需要在上面添加一些IP了，如：

ipset -A test_policy 192.168.100.1

ipset -A test_policy 192.168.100.2

ipset -A test_policy 192.168.100.3

ipset -A test_policy 192.168.100.4

这个时候你ipset -nL就会看到：

localhost:/usr/bin# ipset -nL

Name: servers_1

Type: ipmap

References: 1

Default binding:

Header: from: 192.168.100.0 to: 192.168.100.255

Members:

192.168.100.1

192.168.100.2

192.168.100.3 192.168.100.4

Bindings:

(5) 好，到这个时候我们ipset的自定义链就搞好了，这个时候要把他加到我们的iptables链里面，比如说加到FORWARD链里面：

iptables -A FORWARD -m set –set test_policy src -j DROP

当然也可以象我这样做：

iptabs -N NEW_POLLICY

iptables -A FORWARD -m set –set test_policy src -j NEW_POLLICY

这里面需要说明的是src,也就是只是匹配的源地址，如果你需要匹配目的地址的话那么就写成dst

(6)我感觉到重点：

1. 大家使用macipmap类型的时候，如果只需要匹配MAC的时候一定要使用参数：–matchunset ，如：

ipset -N servers_mac_macipmap –network LAN_IP/LAN_NETMASK –matchunset

其实就是这句：

ipset -N servers_mac_macipmap –network ip/mask –matchunset

我发现手册在这个方面写的不是很清楚，所以在这边特意的提醒一下。

另外还有好多其他的settype我在这边就不一一的介绍了

2. 在编译的时候注意大小字节序，我遇到这个问题的，呵呵，搞了半天，如果你设定的IP，看到的不是你想要的，估计就是这个问题了，嘿嘿！

比如你ipset -A test_policy 192.168.100.1， 当ipset -nL 去看设定结果的时候看到的却是：192.168.100.51。

至于怎么改，目前我程序不在手边，有机会我补上。

3. ipset功能在做ip/mac绑定功能和防ARP攻击，是一个好的选择，建议可以试一试的。

好象就这么多了

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/184951.html原文链接：https://javaforall.cn