【firewalld】CentOS7下firewall的ipset配置使用详解

最新推荐文章于 2025-06-03 07:00:00 发布
最新推荐文章于 2025-06-03 07:00:00 发布
阅读量1w 收藏 26
点赞数 24
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: ipset firewalld firewall-cmd centos7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_36904248/article/details/82012579
本文详细介绍了ipset与iptables的关系,ipset在处理大量IP地址和端口时的高性能优势,以及如何在CentOS7上使用firewall-cmd进行ipset的创建、修改和删除等操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、ipset概述

ipset与iptable

· iptables是在Linux内核中配置防火墙规则的用户空间工具。在内核版本更新到2.4以来,iptable一直作为系统中主要的防火墙解决方案。CentOS7将原来的iptable替换为firewall,而firewall提供了对ipset的支持。
· ipset相当于iptable的扩展,它和iptable 处理方式,iptable通过链表线性存储然后遍历来实现匹配。而ipset通过通过索引的数据结构设计达到快速匹配。这种设计使得当set配置比较庞大的时候,也可以高效地进行匹配。

适用范围

· 存储多个IP地址或端口号,并在一个swoop中与iptables的集合相匹配;
· 在不影响性能的同时,针对IP地址或端口的变化动态更新iptables规则;
· 性能高,用一个iptables规则来表示复杂的IP地址和端口

安装
在CentOS7更新firewalld到最新版本,即可使用ipset,更新安装命令:

yum install firewalld

二、ipset使用

利用firewall-cmd对ipset进行操作

ipset的存储路径:/etc/firewalld/ipsets

命令集合:

获取指定ipset信息

firewall-cmd --info-ipset=[ipset_name]

增加ipset

firewall-cmd --permanent --new-ipset=[ipset_name] --type=[type] --option

其中option可不填,eg:–option=family=inet6指定该ipset使用IPV6地址。

删除指定ipset

firewall-cmd --permanent --delete-ipset=[ipset_name]

删除后,在ipset目录下会有一个备份文件,例如:原来的ipset为test_set.xml,则删除后会生成一个test_set.xml.old.

指定ipset中增加entry

firewall-cmd --permanent --ipset=[ipset_name] --add-entry=[xx.xx.xx.xx]

指定ipset中删除entry

firewall-cmd --permanent --ipset=[ipset_name] --remove-entry=[xx.xx.xx.xx]

删除entry
–permanent参数直接决定是否永久生效 需要执行firewall-cmd –reload,使其生效
不加–permanent是直接生效(runtime environment),不会保存在相应的ipset的XML文件中,重启firewalld服务将会失效

IPSet Options
–get-ipset-types Print the supported ipset types
–new-ipset=<ipset> –type=<ipset type> [–option=<key>[=<value>]]..
Add a new ipset [P only]
–new-ipset-from-file=<filename> [–name=<ipset>]
Add a new ipset from file with optional name [P only]
–delete-ipset=<ipset>
Delete an existing ipset [P only]
–load-ipset-defaults=<ipset>
Load ipset default settings [P only]
–info-ipset=<ipset> Print information about an ipset
–path-ipset=<ipset> Print file path of an ipset [P only]
–get-ipsets Print predefined ipsets
–ipset=<ipset> –set-description=<description>
Set new description to ipset [P only]
–ipset=<ipset> –get-description
Print description for ipset [P only]
–ipset=<ipset> –set-short=<description>
Set new short description to ipset [P only]
–ipset=<ipset> –get-short
Print short description for ipset [P only]
–ipset=<ipset> –add-entry=<entry>
Add a new entry to an ipset [P]
–ipset=<ipset> –remove-entry=<entry>
Remove an entry from an ipset [P]
–ipset=<ipset> –query-entry=<entry>
Return whether ipset has an entry [P]
–ipset=<ipset> –get-entries
List entries of an ipset [P]
–ipset=<ipset> –add-entries-from-file=<entry>
Add a new entries to an ipset [P]
–ipset=<ipset> –remove-entries-from-file=<entry>
Remove entries from an ipset [P]

三、ipset类型的区别

1、hash:ip

2、 hash:ip,mark

3、hash:ip,port

4、hash:ip,port,ip

5、hash:ip,port,net

6、 hash:mac

7、hash:net

8、hash:net,iface

9、hash:net,net

10、hash:net,port

11、hash:net,port,net

参考文献

1、https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset
2、https://firewalld.org/2015/12/ipset-support
3、https://firewalld.org/documentation/man-pages/firewalld.ipset

firewalld(6)自定义services、ipset
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-02 1597
自定义服务配置文件:通常位于目录下,文件名以.xml结尾。这些文件允许用户定义自己的服务,包括其使用的端口、协议、模块(如内核模块)以及目标地址等。系统级服务配置文件:位于目录下,这些文件包含预定义的服务配置,这些服务通常是众所周知的网络服务(如HTTP、SSH等)。参考 /usr/lib/firewalld/services/ssh.xml,在下面新建你需要的服务名以.xml结尾,内容格式参照如ssh.xml、rdp.xml等文件中的内容即可。
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 245
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
firewalldipset运用
AchEngbab的博客
04-15 672
所以,可以简单理解为ipset是个设置ip、port、mac、net等的集合,firewalld可以调用这些集合,根据集合进行规则过滤。原文链接:https://blog.youkuaiyun.com/jaoyzeng/article/details/136021555。
Linux系统之firewall-cmd详解
最新发布
weixin_56303229的博客
06-03 1629
firewall-cmdfirewalld 服务的命令行客户端,用于在 Linux 系统中动态管理防火墙规则。Firewalld 提供了支持网络区域的动态管理防火墙,而不需要重新加载整个防火墙规则集。
centos7 firewalld基本配置方法
weixin_34227447的博客
08-15 589
说明:此规范分为两部分:一是,常规配置方法;二是集合配置方法常规的配置方法是指对于端口,服务及源地址的限制方法集合配置方法是针对于源地址和端口组合限制,但源地址是一个IP地址集合,此集合中可以任意添加IP地址及网段 一、常规配置方法:1、端口限制1)放开UDP 161/162端口firewall-cmd --permanent --zone=public --add-port=161/udpfi...
firewall-cmd设置ipset简化配置
11-22 2411
创建的文件在/etc/firewalld/ipsets/目录下 列出所有的ipset types:firewall-cmd --get-ipset-types 列出当前所有的ipsets:firewall-cmd --get-ipsets 增加ipsetfirewall-cmd --permanet --add-ipset=ipsetname --type=types 在ipset里加入入口:firewall-cmd --permanent --ipset=ipsetname --add-entr
centos7firewalld 详细介绍配置
BeliefWish的博客
09-21 1928
目录 一.FirewallD 是什么? 二.什么是动态防火墙? 三.什么是区域(zone)? 四.区域(zone)说明如下drop(丢弃) 五.什么是服务? 六.其他 一.FirewallD 是什么? FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工 具。 二.什么是动态防火墙? 我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下iptables service 管理防火墙规则的模式,用户使用
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
Linux:-6-Centos7使用firewall详细讲解
jonathon77的博客
08-09 859
【代码】Linux:-6-Centos7使用firewall详细讲解。
一文带你体验CentOS7防火墙firewall
互联网老辛
05-30 3086
文章目录防火墙分类:防火墙的作用firewalld 实战firewalld 介绍firewalld 四个常用区域防火墙的匹配原则:案例一: 查看默认zone常用命令参数案例二: 修改默认zone案例三: 在public区域添加协议案例四: 把http协议永久加入到public 区域案例五: 拒绝某一个IP 访问总结 防火墙分类: 硬件防火墙 软件防火墙 比如360,金山毒霸,这些就是一种软件防火墙 防火墙的作用 防火墙主要是做隔离,严格过滤入站,允许出站 软件防火墙:做本机的防护 firewalld 实战
CentOS 7 firewalld+ipset+定时任务防御ssh暴力破解——筑梦之路
筑梦之路
12-26 1340
对于暴露在公网上的linux服务器,很容易被暴力破解登陆,为了增强服务器的安全性,因此对于ssh安全加固是很有必要的,这里主要介绍centos7 系统如何使用ipset+firewalld+定时任务来对ssh服务进行安全加固。
firewalld ipset 封禁ip
lx_1314的博客
07-19 1147
firewalld ipset 封禁ip
centos7 firewall ipset使用记录笔记
abcxyz888的专栏
05-25 399
systemctl enable firewalld #开机运行 systemctl start firewalld firewall-cmd --new-ipset=permit_22_input --type=hash:ip --permanent #以上只能--pernanent firewall-cmd --ipset="permit_22_input" --add-entry="192.168.1.2" --permanent firewall-cmd --info-ipset=permit_2.
Centos7 防火墙配置详解(非常详细!)
benjam1n77的博客
08-18 2万+
Centos7使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
CentOS7firewalld使用
rossisy的博客
03-11 2994
CentOS7默认的防火墙使用的是firewalld(http://www.firewalld.org/),其相关的使用方法如下: 1. firewalld的启动与停止 停止: 启动: 查看运行状态: 或 2. firewalld命令行工具firewall-cmd firewall-cmdfirewalld的主要的命令行工具 查看firewalld
ipset详解
热门推荐
一二三四吾
12-19 3万+
ipset介绍 ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilte
firewall-cmd命令详解
u014398490的博客
07-17 1万+
近期新上一个项目,环境是Centos7,以前的iptables的经验没用了。把firewalld研究了下,粗略记录一下把。 常用命令: firewall-cmd --reload firewall-cmd --complete-reload 和上面的意思差不多,但是不会维持当前连接信息。比如,用ssh22登陆,如果不小心把ssh 22关掉了,用reload不会把当前的连接杀死。但是用 --c...
防火墙-CentOS7-firewalld
01-04
### 如何在 CentOS 7配置使用 firewalld 防火墙 #### 加载和重启命令差异 `firewall-cmd --reload` 和 `systemctl restart firewalld` 的主要区别在于处理现有连接的方式。前者会重新加载当前的防火墙设置而不中断现有的网络连接,而后者则完全停止并启动服务,这可能会短暂影响正在进行中的通信[^1]。 #### 使用 zone 进行流量管理 Firewalld 提供了一种灵活的方法来管理和分类入站流量——即通过定义不同的区域(zone),可以依据源 IP 地址或网络接口将流量分配给特定的安全级别。每个区域可以根据预设的信任程度自动决定允许哪些类型的流量进入系统[^2]。 #### 基于服务名称而非端口号的操作简化 为了提高易用性和减少错误率,firewalld 支持直接利用已知的服务名称来进行规则设定,而不是手动输入具体的端口与协议组合。这种方式不仅使得配置更加直观简单,同时也避免了因误配而导致的安全风险。 #### 实际操作指南 下面是一些基本指令用于日常维护: - **查看活动状态** ```bash systemctl status firewalld ``` - **启用并开启随开机自启** ```bash systemctl enable firewalld && systemctl start firewalld ``` - **查询默认区域及其策略** ```bash firewall-cmd --get-default-zone firewall-cmd --list-all-zones | less ``` - **更改默认区域** ```bash firewall-cmd --set-default-zone=public ``` - **添加新规则(例如开放 SSH 访问)** ```bash firewall-cmd --reload ``` 这些基础命令可以帮助管理员快速上手,在实际环境中根据需求调整相应的安全政策。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值