Centos7 | 防火墙(firewalld)使用ipset管理ip地址的集合

原创 于 2025-07-30 16:03:27 发布 · 1.2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #centos7 #运维 #firewalld

文章目录

一、firewalld中ipset的用途

1.1 用途

ipset是ip地址的集合,firewalld使用ipset可以在一条规则中处理多个ip地址,执行效果更高对ip地址集合的管理也更方便

1.2 注意与iptables所用的ipset命令的不同,

不要混合使用firewall-cmd的ipset参数与linux平台上的ipset命令,避免引起冲突,firewalld的ipset会记录到/etc/firewalld/ipsets/目录下

1.3 配置详解

IPSet Options
  --get-ipset-types    打印支持的ipset类型
  --new-ipset=<ipset>  
               --类型= < ipset类型>[——选项= <关键>[= < >价值]]. .添加一个新的ipset
  --new-ipset-from-file=<filename> [--name=<ipset>]  
               从文件中添加一个新的ipset[可选名称]
  --delete-ipset=<ipset>  
               删除已存在的ipset [可选名称]
  --load-ipset-defaults=<ipset>  
               加载ipset默认设置[可选名称]
  --info-ipset=<ipset>
               打印关于ipset的信息[可选名称]
  --path-ipset=<ipset>
               打印ipset的文件路径[可选名称]
  --get-ipsets         打印预定义ipsets
  --ipset=<ipset> --set-description=<description>
                       设置新的描述为ipset[可选名称]
  --ipset=<ipset> --get-description
                       打印ipset的描述[可选名称]
  --ipset=<ipset> --set-short=<description>
                       设置新的短描述为ipset[可选名称]
  --ipset=<ipset> --get-short
                       打印ipset的简短描述[可选名称]
  --ipset=<ipset> --add-entry=<entry>
                       向ipset中添加一个新条目[可选名称]
  --ipset=<ipset> --remove-entry=<entry>
                       从ipset中删除一个条目[可选名称]
  --ipset=<ipset> --query-entry=<entry>
                       返回ipset是否有条目
  --ipset=<ipset> --get-entries
                       列出ipset的表项[可选名称]
  --ipset=<ipset> --add-entries-from-file=<entry>
                       向ipset中添加新条目[可选名称]
  --ipset=<ipset> --remove-entries-from-file=<entry>
                       从ipset中删除条目[可选名称]

二、firewalld中ipset的操作例子

2.1 新建一个set

–new-ipset=sshblock: 指定新ipset的名字为:sshblock

–type=hash:ip 指定类型为 hash:ip,这种形式不允许重复而且只有一个ip

[root@blog ipsets]# firewall-cmd --permanent --new-ipset=sshblock --type=hash:ip
success

查看ipset文件是否已生成?
说明:默认的目录是:/etc/firewalld/ipsets
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
</ipset>

2.2 在set中添加ip

[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --add-entry=111.111.111.111
success

查看添加ip的效果
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
  <entry>111.111.111.111</entry>
</ipset>

2.3 从set中删除ip

[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --remove-entry=111.111.111.111
success

查看删除ip的效果
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
</ipset>

2.4 删除一个set

[root@blog ipsets]# firewall-cmd --permanent --delete-ipset=sshblock
success

查看sshblock这个set的配置文件是否还存在?
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
more: stat of /etc/firewalld/ipsets/sshblock.xml failed: No such file or directory

2.5 打印一个set的文件路径

[root@blog ipsets]# firewall-cmd --permanent --path-ipset=sshblock
/etc/firewalld/ipsets/sshblock.xml

2.6 打印一个set的内容

[root@blog ipsets]# firewall-cmd --permanent --info-ipset=sshblock
sshblock
  type: hash:ip
  options:
  entries: 111.111.111.111

2.8 判断一个ip是否存在于set中?

[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --query-entry=1.1.1.1
no
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --query-entry=111.111.111.111
yes

2.9 列出所有的ipsets

[root@blog ipsets]# firewall-cmd --permanent --get-ipsets
sshblock

2.10 得到所有的默认ipset类型

[root@blog ipsets]# firewall-cmd --get-ipset-types
hash:ip hash:ip,mark hash:ip,port hash:ip,port,ip hash:ip,port,net hash:mac
hash:net hash:net,iface hash:net,net hash:net,port hash:net,port,net

三、firewalld中使用ipset

3.1 把一个ipset加入到禁止的规则

[root@blog ipsets]# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source ipset="sshblock" drop'
success

查看xml中的记录:
[root@blog ipsets]# more /etc/firewalld/zones/public.xml
...
  <rule family="ipv4">
    <source ipset="sshblock"/>
    <drop/>
  </rule>
...

使生效
[root@blog ipsets]# firewall-cmd --reload
success


把禁止的规则删除
[root@blog ipsets]# firewall-cmd --permanent --remove-rich-rule 'rule family="ipv4" source ipset="sshblock" drop'
success

查看xml中的记录(刚才的drop信息被去除了):
[root@blog ipsets]# more /etc/firewalld/zones/public.xml
...

...

使生效
[root@blog ipsets]# firewall-cmd --reload
success

3.2 把ip地址中ipset中删除

注意:没写入到磁盘

[root@blog ipsets]# firewall-cmd --ipset=sshblock --remove-entry=111.111.111.111
success
[root@blog ipsets]# firewall-cmd --ipset=sshblock --query-entry=111.111.111.111
no
[root@blog ipsets]# firewall-cmd --ipset=sshblock --get-entries

可见已删除成功,如果想永久性的记录下来:写入到磁盘后 reload一次
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --remove-entry=111.111.111.111
success
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
</ipset>
[root@blog ipsets]# firewall-cmd --reload
success

四、添加到ipset中的ip地址数据是否会重复

因为使用了hash类型,当ip重复时firewall-cmd会报错:

新建ipset
[root@blog ipsets]# firewall-cmd --permanent --new-ipset=sshblock --type=hash:ip
success
添加ip
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --add-entry=111.111.111.111
success

查看文件
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
  <entry>111.111.111.111</entry>
</ipset>

再次添加ip
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --add-entry=111.111.111.111
Warning: ALREADY_ENABLED: 111.111.111.111
success

查看文件:
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
  <entry>111.111.111.111</entry>
</ipset>

没有出现重复的情况

五、使用脚本抓取有问题的ip加入到拒绝访问的ipset

常用的几类ip:

  1. 被firewalld防火墙reject的ip

  2. nginx日志中访问过于频率的ip

  3. secure日志中登录失败的ip

我们以secure日志中登录失败的ip为例:

先用命令抓取到登录失败的ip:

[root@blog log]# grep -i 'Failed password' /var/log/secure | awk '{print $11}' | sort -n | uniq -c | sort -k1nr | awk '{if ($1>5) print $2}'
...

写一段脚本,放到crond中定时执行即可:
[root@blog ~]# vi ./addlogifailip2firewall.sh

内容:
#!/bin/bash
for LINE in `grep -i 'Failed password' /var/log/secure | awk '{print $11}' | sort -n | uniq -c | sort -k1nr | awk '{if ($1>3) print $2}'`; do
    echo "${LINE}";
    firewall-cmd --permanent --ipset=sshblock --add-entry="${LINE}";
done;
firewall-cmd --reload;

六、如何防止自己被误关在防火墙外?使用ip白名单

把允许访问的ip加入到trusted区域:

[root@blog zones]# firewall-cmd --permanent --zone=trusted --add-source=111.111.111.111

使生效:
[root@blog zones]# firewall-cmd --reload

注意此处不要使用ipset,
使用ipset后,如果同一个ip也被加入了被拒绝的set,
则此ip还是会关到外面。
原因在于firewalld把规则转到nftables的处理机制,
它把set的处理合并到默认的public zone中去处理了.
大家可以用nft的命令验证 :
[root@blog log]# nft list ruleset

七、查看firewalld的版本

[root@blog ~]# firewall-cmd --version
0.6.3

八、查看linux的版本

[root@blog ~]# cat /etc/redhat-release
CentOS Linux release 8.0.1905 (Core)
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 539
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
CentOS7系列之Firewalld防火墙常用命令操作
liyuanjie的博客
03-10 1703
CentOS7 Linux系统firewall防火墙firewall-cmd常用命令操作详解
firewalldCentOS7下firewall的ipset配置使用详解
Imba
08-24 1万+
一、ipset概述 ipsetiptable iptables是在Linux内核中配置防火墙规则的用户空间工具。在内核版本更新到2.4以来,iptable一直作为系统中主要的防火墙解决方案。CentOS7将原来的iptable替换为firewall,而firewall提供了对ipset的支持。 ipset相当于iptable的扩展,它和iptable 处理方式,iptable通过链表...
CentOS7下操作iptables防火墙firewalld防火墙
Linux运维老纪的博客
07-27 2088
CentOS 7在安全性方面提供了多层次的保护措施,‌包括防火墙管理、‌系统更新、‌用户管理、‌以及通过系统配置增强安全性。‌本章详细介绍Linux安全firewalldiptables.
firewalld ipset 封禁ip
lx_1314的博客
07-19 1246
firewalld ipset 封禁ip
Centos7 防火墙配置详解(非常详细!)
benjam1n77的博客
08-18 2万+
Centos7使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
firewalldipset运用
AchEngbab的博客
04-15 783
所以,可以简单理解为ipset是个设置ip、port、mac、net等的集合firewalld可以调用这些集合,根据集合进行规则过滤。原文链接:https://blog.youkuaiyun.com/jaoyzeng/article/details/136021555。
firewalld系列一:自定义zone与ipset
刘元林的博客
02-25 4466
摘要:本文介绍了在CentOS8中通过firewalld防火墙实现源地址访问控制的方法。由于CentOS8已弃用TCP_Wrappers,作者详细讲解了如何自定义zone和ipset来限制访问。主要内容包括:创建/删除zone、添加源地址、绑定ipset等操作命令,并提供了两个实际案例:案例1展示如何限制SSH访问源地址,案例2则涉及设置管理白名单。文章还包含ipset的创建、条目管理及验证方法,为管理员提供了详细的防火墙配置指南。
centos7 firewalld防火墙 trusted的zone 批量添加禁止访问的IP地址
最新发布
05-29
### 在 CentOS 7使用 firewalld 防火墙的 trusted 区域批量添加拒绝 IP 的配置教程 在 CentOS 7 中,`firewalld` 是默认的防火墙管理工具。虽然 `trusted` 区域通常用于允许特定的 IP 地址或网段访问资源,但...
CentOS7Firewalld防火墙策略配置详解
与传统的静态规则链不同,firewalld 提供了一种动态管理防火墙规则的机制,支持运行时配置而无需重启整个防火墙服务,极大提升了系统网络策略管理的灵活性和安全性。本文围绕 CentOS 7 系统中 firewalld 的实际应用...
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
CentOS7系统的Firewalld防火墙基础详解
weixin_45409403的博客
11-11 917
Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,支持IPv4、IPv6防火 墙设置以及以太网桥,支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式 1.运行时配置 2.永久配置 Firewalldiptables的关系 netfilter: 位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态” Firewalld/iptable...
Centos7配置IP防火墙
qq_44259060的博客
05-25 912
2.使用vi编辑命令 vi /etc/sysconfig/network-scripts/ifcfg-ens33 打开网卡的配置文件并进行编辑,打开后如下图。1.查看IP地址,在Windows电脑端查看命令是在cmd中输入ipconfig,在centos中输入ip addr 命令可以查看本机的IP地址。根据实际情况不同网卡的名字也会不同。5.光标移动到末尾位置手动输入给定的IP地址,NETMASK是指网卡对应的网络掩码,GATEWAY是指默认网关,如下图所示。打开/关闭防火墙输入。
centos7 firewalld基本配置方法
weixin_34227447的博客
08-15 622
说明:此规范分为两部分:一是,常规配置方法;二是集合配置方法常规的配置方法是指对于端口,服务及源地址的限制方法集合配置方法是针对于源地址和端口组合限制,但源地址是一个IP地址集合,此集合中可以任意添加IP地址及网段 一、常规配置方法:1、端口限制1)放开UDP 161/162端口firewall-cmd --permanent --zone=public --add-port=161/udpfi...
firewalld(6)自定义services、ipset
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-02 1736
自定义服务配置文件:通常位于目录下,文件名以.xml结尾。这些文件允许用户定义自己的服务,包括其使用的端口、协议、模块(如内核模块)以及目标地址等。系统级服务配置文件:位于目录下,这些文件包含预定义的服务配置,这些服务通常是众所周知的网络服务(如HTTP、SSH等)。参考 /usr/lib/firewalld/services/ssh.xml,在下面新建你需要的服务名以.xml结尾,内容格式参照如ssh.xml、rdp.xml等文件中的内容即可。
firewall
mmgithub123的博客
12-16 293
防火墙上放行端口111-udp/tcp、892-tcp/udp 20048 tcp/udp就可以; [root@nfs ~]# firewall-cmd --zone=public --add-port=892/tcp --permanent(这个参数指定配置永久生效) success [root@nfs ~]# firewall-cmd --zone=public --add-port=11...
Linux (CentOSIpset
scdncby的博客
05-11 1373
Linux (CentOSIpset数据集合 ipsetiptables的扩展,允许你创建匹配整个地址sets(地址集合)的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种集合比较大也可以进行高效的查找。在许多的linux发布中ipset是一个简单的安装包,可以通过linux发行版提供的yum进行安装 创建ipset集合ipset create SETNAME TYPENAME,SETNAME:集合名称(bitmap, hash, list);TYPE
ipset详解
热门推荐
一二三四吾
12-19 3万+
ipset介绍 ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilte
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问)
08-16 9589
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑疯雷

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值