最新消息:运维之路

Linux防火墙扩展工具–IPSET

系统运维 admin 217浏览 0评论

Ipset介绍
Iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptables是linux从2.4版本引入的防火墙解决方案.
Ipset是iptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找.
除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.
官网:http://ipset.netfilter.org/

关于 iptables,要知道这两点。

iptables 包含几个表,每个表由链组成。默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是 nat 表。一般封 IP 就是在 filter 表的 INPUT 链添加规则。
在进行规则匹配时,是从规则列表中从头到尾一条一条进行匹配。
这像是在链表中搜索指定节点费力。ipset 提供了把这个 O(n) 的操作变成 O(1) 的方法:就是把要处理的 IP 放进一个集合,对这个集合设置一条 iptables 规则。像 iptable 一样,IP sets 是 Linux 内核中的东西,ipset 这个命令是对它进行操作的一个工具。

简单的流程

ipset 安装

yum install ipset -y

ipset创建set

ipset create cdn hash:net

ipset给set添加ip

ipset add cdn 172.16.0.0/16

ipset规则持久化

service ipset start
service ipset save
service ipset restart
#文件保存在/etc/sysconfig/ipset

查看ipset规则

ipset list
ipset list cdn

增加iptables规则

-A INPUT -p tcp -m set –match-set cdn src –destination-port 443 -j ACCEPT

重启iptables

service iptables restart

另外几条常用命令

ipset del yoda x.x.x.x # 从 yoda 集合中删除内容
ipset list yoda # 查看 yoda 集合内容
ipset list # 查看所有集合的内容
ipset flush yoda # 清空 yoda 集合
ipset flush # 清空所有集合
ipset destroy yoda # 销毁 yoda 集合
ipset destroy # 销毁所有集合
ipset save yoda # 输出 yoda 集合内容到标准输出
ipset save # 输出所有集合内容到标准输出
ipset restore # 根据输入内容恢复集合内容
还有……

如果创建集合是指定的存储内容包含 ip, 例如 hash:ip 或 hash:ip,port ,在添加条目时,可以填 IP 段,但是仍然是以单独一个个 IP 的方式来存。
上面所有的例子都是用 hash 的方式进行存储,实际上 ipset 还可以以 bitmap 或者 link 方式存储,用这两种方式创建的集合大小,是固定的。
通过 man upset 和 ipset —help 可以查到更多的内容,包括各种选项,支持的类型等等。

 

以后要加的时候IP直接加在     /etc/sysconfig/ipset  文件内就行

cdn这个是自行定义命名的    可自行修改

主要是最近限制CDN节点访问做的这种限制  IPSET还是蛮强大的   可以试试

转载请注明:DevOps » Linux防火墙扩展工具–IPSET

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址