ipset和iptables笔记

已于 2023-01-11 21:17:35 修改
阅读量514 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux运维 文章标签: linux 运维
于 2023-01-05 15:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Re_Virtual/article/details/128564110
文章介绍了在处理大量访问控制列表(ACL)时,如何利用ipset和iptables在Redhat系统中更方便地管理防火墙规则。通过创建、删除和操作ipset集合,以及设置iptables策略来限制特定源地址,可以简化和优化网络安全配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

虽然redhat系中firewall非常简单易用,但是在acl量大情况下,iptables配合ipset使用仍然是更方便的工具
需要安装ipset和iptables-services(可用systemctl控制和/etc/sysconfig/iptables修改配置)

yum install -y ipset
yum install -y iptables-services

1 ipset

1.1 操作集合

1.1.1 创建

最简命令

ipset create blacklist hash:net

net对应网段,ip对应地址,元素以hash表形式存储
如果需要添加注释,则创建时必须允许

ipset create blacklist2 hash:net comment

1.1.2 删除

ipset destroy blacklist

1.1.3 重命名

ipset rename blacklist blacklist-1

1.2 元素操作

1.2.1 添加

ipset add blacklist 192.168.1.1

1.2.2 查找

ipset test blacklist 192.168.1.1

1.2.3 删除

ipset del blacklist 192.168.1.1

1.2.4 清空

ipset flush blacklist

1.2.5 添加注释

ipset add blacklist 192.168.1.1 comment "注释"

2 iptables

在/etcsysconfig/iptables修改策略
限定源地址

iptables -I INPUT -m set --match-set blacklist src  -j DROP

修改后重启服务使配置生效,ipset添加元素无需重启iptables

systemctl restart iptables
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 189
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作实际配置示例。
Kube-proxy 使用 iptables 模式时,通过 Service 服务发布入口如何到达 Pod ?
山河已无恙
04-09 732
被问到这个问题,整理相关的笔记当 kube-proxy 模式设置为 iptables 的时候,通过 SVC 服务发布入口如何到达 Pod?博文内容涉及:问题简单介绍三种常用的服务发布方式到Pod报文路径解析当前集群为版本为v1.25.1Demo 演示使用了ansible理解不足小伙伴帮忙指正食用需要了解iptables生命的火花不是目标,而是对生活的热情。——《心灵奇旅》
Dnsmasq+ipset+iptables基于域名的流量管理
热门推荐
lvshaorong的博客
11-04 2万+
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储再ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发,可以实现很多功能,比如:禁止浏览某些网站,对国内国外的流量进行分流等。本文主要介绍了dnsmasq+ipset+iptables的配置
iptablesipset配合使用
to_be_better_wen的博客
10-23 5449
iptables ipset配合使用
iptables结合ipset禁止国外IP进行访问
baynk的博客
12-20 2513
iptables结合Ipset禁止国外IP进行访问
iptables ipset 实用命令
weixin_30437481的博客
12-01 275
iptables -t nat -L --line-numbers iptables -D INPUT 3: 通过Chain Name(INPUT) line number(3)来删除规则 iptables -t nat -I PREROUTING -m set --match-set myset src -m comment --comment "myset" -j return...
iptables ipset详解
zhangjikuan的专栏
05-29 1万+
iptables iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] -t 表名 可以省略,指定规则存放在哪个表中,默认为filter表 用于存放相同功能的规则 filter表: 负责过滤功能能, nat表: 网络地址转换功能 mangle表: 拆解报文 做出修改并重新封装的功能 raw表: 关闭nat表上启用的连接追踪机制 命令选项 -A 在...
[RHCE 学习笔记]RedHat 防火墙服务iptablesfirewalld详解
最新发布
Xiaoyintongxue1的博客
02-11 1030
基于RedHat9 整理的一篇关于RHCE红帽中级课程防火墙服务章节的学习笔记。详细讲解了防火墙软件iptablesfirewalld的工作原理基本语法、配置以及一些实验
iptables 笔记
killapper的博客
06-06 4366
- - 不允许接受icmp数据包到本地 iptables -A INPUT -p icmp --icmp-type 8 -j DROP 不允许发送未知数据包到本地 iptables -A INPUT -p all -m state --state INVALID -j DROP 允许已经允许过的连接被动请求数据包发送到本地 iptables -A INPUT all -m state --
iptables 详解
zdplife的专栏
02-05 1139
iptables 不是防火墙,而是一个客户端,通过执行命令将防火墙的配置放置在真正的防火墙框架中,位于用户空间,netfilter 才是真正的防火墙安全框架,位于内核空间。我们可以通过 iptables 对进入主机从主机的 ip 以及端口进行限制,还可以进行网络转发。下面图片来源于博客 iptables详解:iptables 概念 链 如上图所示,”链“ 表示的是数据流经过的一个一个的关卡,一...
使用iptablesipset实现大量屏蔽恶意IP地址
qq_44880708的博客
03-03 1369
使用iptables规则禁止ssh恶意访问
ipset批量配置iptables
weixin_34384557的博客
09-15 429
ipset是什么? ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfi...
iptablesipset
zhaoleiaixiongrui的博客
07-02 127
默认是filter 表。
ipset iptables 保护 sip 端口
fs交流的博客
04-02 687
ipsetiptables保护sip端口
服务器安全-使用ipset iptables禁止国外IP访问
JAVA拾贝
04-07 4147
服务器遭受ddos攻击,发现发部分IP来自国外…… IPSET安装 yum install ipset // 安装ipset ipset create china hash:net hashsize 10000 maxelem 1000000 // 创建地址表 ipset add china 172.18.0.0/16 ipset list china 获取国内IP地址段并导入 vi ipset_china.sh #!/bin/bash rm -rf cn.zone wget ..
nginx+iptables+ipset 封禁频繁访问web服务的恶意IP
AmbroseLe
04-29 1469
ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题。如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可 )安装ipset。基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP的脚本/data/iptables_ipset_deny.sh。~]# ipset del ipsetname 地址。用crontab定时启动脚本。
随手笔记linux-CentOS ipset + iptable 屏蔽IP及IP组
在路上吗
01-26 1440
任务总览 屏蔽占用大量带宽的discuz灌水机器人 屏蔽尝试扫描网站上传文件的机器人 重启后自动重新配置屏蔽条件,不会丢失 开始任务 安装 ipset yum install ipset 配置规则 ipset create discuz_rebort hash:net ipset create scan_upload_package hash:net # CIDR
iptablesipset使用介绍
07-31 2616
ipset是什么?ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilt...
ipsetiptables的扩展
05-07 718
ipsetiptables的扩展,使得linux防火墙配置更加灵活,易用
Linux操作系统的实用学习笔记
- **网络工具**:`ifconfig`(旧工具,已被`ip`命令取代)、`ip`(用于配置网络接口参数)、`route`(显示操作IP路由表)、`iptables`(配置防火墙规则)、`nmap`(网络安全扫描工具)、`ssh`(安全远程登录工具)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值