centos7中firewall防火墙详解和配置_centos8 防火墙

大家好，又见面了，我是你们的朋友全栈君。

一、ipset概述

ipset与iptable

· iptables是在Linux内核中配置防火墙规则的用户空间工具。在内核版本更新到2.4以来，iptable一直作为系统中主要的防火墙解决方案。CentOS7将原来的iptable替换为firewall，而firewall提供了对ipset的支持。 · ipset相当于iptable的扩展，它和iptable 处理方式，iptable通过链表线性存储然后遍历来实现匹配。而ipset通过通过索引的数据结构设计达到快速匹配。这种设计使得当set配置比较庞大的时候，也可以高效地进行匹配。

适用范围

· 存储多个IP地址或端口号，并在一个swoop中与iptables的集合相匹配; · 在不影响性能的同时，针对IP地址或端口的变化动态更新iptables规则; · 性能高，用一个iptables规则来表示复杂的IP地址和端口

安装

在CentOS7更新firewalld到最新版本，即可使用ipset，更新安装命令：

yum install firewalld

二、ipset使用

利用firewall-cmd对ipset进行操作

ipset的存储路径：/etc/firewalld/ipsets

命令集合：

获取指定ipset信息

firewall-cmd --info-ipset=[ipset_name]

增加ipset

firewall-cmd --permanent --new-ipset=[ipset_name] --type=[type] --option

其中option可不填，eg：–option=family=inet6指定该ipset使用IPV6地址。

删除指定ipset

firewall-cmd --permanent --delete-ipset=[ipset_name]

删除后，在ipset目录下会有一个备份文件，例如：原来的ipset为test_set.xml，则删除后会生成一个test_set.xml.old.

指定ipset中增加entry

firewall-cmd --permanent --ipset=[ipset_name] --add-entry=[xx.xx.xx.xx]

指定ipset中删除entry

firewall-cmd --permanent --ipset=[ipset_name] --remove-entry=[xx.xx.xx.xx]

删除entry –permanent参数直接决定是否永久生效 需要执行firewall-cmd –reload，使其生效 不加–permanent是直接生效（runtime environment），不会保存在相应的ipset的XML文件中，重启firewalld服务将会失效

IPSet Options –get-ipset-types Print the supported ipset types –new-ipset=<ipset> –type=<ipset type> [–option=<key>[=<value>]].. Add a new ipset [P only] –new-ipset-from-file=<filename> [–name=<ipset>] Add a new ipset from file with optional name [P only] –delete-ipset=<ipset> Delete an existing ipset [P only] –load-ipset-defaults=<ipset> Load ipset default settings [P only] –info-ipset=<ipset> Print information about an ipset –path-ipset=<ipset> Print file path of an ipset [P only] –get-ipsets Print predefined ipsets –ipset=<ipset> –set-description=<description> Set new description to ipset [P only] –ipset=<ipset> –get-description Print description for ipset [P only] –ipset=<ipset> –set-short=<description> Set new short description to ipset [P only] –ipset=<ipset> –get-short Print short description for ipset [P only] –ipset=<ipset> –add-entry=<entry> Add a new entry to an ipset [P] –ipset=<ipset> –remove-entry=<entry> Remove an entry from an ipset [P] –ipset=<ipset> –query-entry=<entry> Return whether ipset has an entry [P] –ipset=<ipset> –get-entries List entries of an ipset [P] –ipset=<ipset> –add-entries-from-file=<entry> Add a new entries to an ipset [P] –ipset=<ipset> –remove-entries-from-file=<entry> Remove entries from an ipset [P]

三、ipset类型的区别

1、hash:ip

2、 hash:ip,mark

3、hash:ip,port

4、hash:ip,port,ip

5、hash:ip,port,net

6、 hash:mac

7、hash:net

8、hash:net,iface

9、hash:net,net

10、hash:net,port

11、hash:net,port,net

参考文献

1、https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset 2、https://firewalld.org/2015/12/ipset-support 3、https://firewalld.org/documentation/man-pages/firewalld.ipset

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/188758.html原文链接：https://javaforall.cn