简介

由于公司线上生产环境firewalld默认都是关闭的,所以只能依赖iptables的表来方便管理IP黑白名单.

提示线上生产环境不要随便重启iptables,会导致docker已经映射好的关系表都没有了.

不要执行iptables-save,会把当前临时的一些规则保存到/etc/sysconfig/iptables,如有变动,重启又会被load出来.

不要执行iptables -F 清空规则.

增删改表单后,不要重启iptables,规则都是立即生效.

本本主要内容:ipset表应用

ip set是linux内核的一个内部框架,可由ipset工具管理.

ipset 适用于以下几种场景:

  • 一次性存储大量的ip或者端口,用以iptables匹配
  • 在不影响性能的前提下,动态更新iptables规则(针对ip或者端口),表单更新时不用频繁重启iptabels服务,立即生效
  • 期望使用ipset的告诉匹配,或者在一条iptables规则中表达复杂的 ip/端口规则,使规则看起来更简单明了

安装ipset

#安装ipset,大多数系统7已经默认安装过了

yum install ipset

#备份原有的iptabels到文件

iptables -nL >myiptabls.oldlist

iptables-save >./myiptables.old

定义hash:net类型黑白名单

任何端口协议

#白名单

ipset create opsallow hash:net maxelem 10000

iptables -A INPUT -m set --match-set opsallow src -j ACCEPT

#黑名单

ipset create opsdeny hash:net maxelem 500000

iptables -A INPUT -m set --match-set opsdeny src -j DROP 

#查看表

ipset list 表名

#保存表

ipset save 表名 -f 表名bak.txt

#恢复表

ipset restore -f 表名bak.txt

#查看iptables表(这里注意优先级)

iptables -nL INPUT

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set opsallow src

DROP       all  --  0.0.0.0/0            0.0.0.0/0            match-set opsdeny src

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            match-set opsallowipport src,dst

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            match-set opsdenyipport src,dst

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            match-set denytemp1d src


#加白名单,把公司自己IP先加进去

ipset add opsallow 123.123.123

#加黑名单

#ipset add opsdeny 45.9.20.101

#删白名单

ipset del opsallow 1.1.1.1

#删黑名单

ipset del opsallow 1.1.1.1

#网段

ipset add opsallow 192.168.255.0/24

ipset add opsallow 172.17.0.0/16

#清空表单

ipset flush 表名

#删除表

ipset destroy 表名

#测试是否在表中匹配到

ipset test opsdeny 192.168.255.166

定义hash:ip,port类型黑白名单

指定端口

#白名单

ipset create opsallowipport hash:ip,port maxelem 10000

iptables -A INPUT -p tcp -m set --match-set opsallowipport src,dst -j ACCEPT

#黑名单

ipset create opsdenyipport hash:ip,port maxelem 500000

iptables -A INPUT -p tcp -m set --match-set opsdenyipport src,dst -j DROP 

#增删

ipset add opsallowipport 192.168.255.166,80

ipset del opsallowipport 192.168.255.166,80

ipset del opsallowipport 192.168.255.166,80-89

ipset del opsallowipport 192.168.255.166,udp:53

ipset add opsdenyipport 192.168.255.166,tcp:80

ipset add opsdenyipport 192.168.255.161-192.168.255.166,8080

#这里走了些弯路,特此整理成表,只告诉了怎么加到ipset表,缺很少告诉你src,dst都需要指定,只写src导致ipset无效

 ipset type        | iptables match-set | Packet fields

 ------------------+--------------------+---------------------------------

 hash:ip,port      | src,dst            | src IP address, dst port

 hash:net,port,net | src,dst,dst        | src IP address, dst port, dst IP address

 hash:net,port,net | dst,src,src        | dst IP address, src port, src IP address

 hash:ip,port,ip   | src,dst,dst        | src IP address, dst port, dst IP address

 hash:ip,port,ip   | dst,src,src        | dst IP address, src port, src ip address

 hash:mac          | src                | src mac address

 hash:mac          | dst                | dst mac address

 hash:ip,mac       | src,src            | src IP address, src mac address

 hash:ip,mac       | dst,dst            | dst IP address, dst mac address

 hash:ip,mac       | dst,src            | dst IP address, src mac address

其他



#规则优先级

#这里也很容易走弯路如果ipset的allow和deny里都有,iptables中opsallowipport在opsdenyipport前面,那么allow优先;

#也就是说ipables中谁在前面,谁先匹配到,谁就有优先权.

#因此根据实际需要,要注意iptables条目的顺序先后.

#查看排序规则

#iptables -nL INPUT

[root@opstest zzw]# iptables -nL

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            match-set opsdenyipport src,dst

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            match-set opsallowipport src,dst

#加到最前面

iptables -I INPUT -p tcp -m set --match-set opsallowipport src,dst -j ACCEPT

#追加到后面

iptables -A INPUT -p tcp -m set --match-set opsallowipport src,dst -j ACCEPT


#创建自动1d解封

ipset create denytemp1d hash:ip timeout 86400

iptables -A INPUT -p tcp -m set --match-set denytemp1d src -j DROP


#添加注释

[root@opstest zzw]# ipset create opsdenyipport hash:ip,port maxelem 500000 comment

[root@opstest zzw]# ipset add opsdenyipport 192.168.255.167,tcp:80 comment "bad man"

[root@opstest zzw]# ipset list opsdenyipport

Name: opsdenyipport

Type: hash:ip,port

Revision: 5

Header: family inet hashsize 1024 maxelem 500000 comment

Size in memory: 240

References: 0

Number of entries: 1

Members:

192.168.255.167,tcp:80 comment "bad man"

防火墙之ipset表应用的更多相关文章

  1. 期中架构&防火墙¥四表五链

    今日内容 架构图 包过滤防火墙 Iptables 新建虚拟机 内容详细 一.架构图 用户通过域名访问一个网站类比开车去饭店用餐 访问网站的流程 1.浏览器输入网站的域名(www.baidu.com), ...

  2. Openwrt上使用dnsmasq和ipset实现域名分流

    目标 部署一台自动代理路由器,实现根据域名来自动设定直连或者代理,而我要做的只是设置PC的默认网关为主路由器(192.168.0.1)还是自动代理路由器(192.168.0.254). 创建Openw ...

  3. dnsmasq-2.48没有ipset特性,安装dnsmasq-2.71来支持ipset

    iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储在ipset中,所以使用dnsmasq+ipset就可以实现ip ...

  4. 6. Samba服务和防火墙配置笔记

    Samba文件服务器 (一)简介 内网文件服务器 windows-windows 文件共享服务 网络邻居linux-linux NFS windows-linux Samba (二)端口 smbd: ...

  5. [转] Linux下防火墙iptables用法规则详及其防火墙配置

    from: http://www.cnblogs.com/yi-meng/p/3213925.html 备注: 排版还不错,建议看以上的链接. iptables规则 规则--顾名思义就是规矩和原则,和 ...

  6. centos防火墙操作

    centos防火墙基本操作 #/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT#/sbin/iptables -I INPUT -p tcp -- ...

  7. 防火墙和iptables

    本文目录: 6.1 为什么需要防火墙 6.2 数据传输流程 6.2.1 网络数据传输过程 6.2.2 本机数据路由决策 6.3 TCP三次握手.四次挥手以及syn攻击 6.3.1 三次握手建立tcp连 ...

  8. CentOS_6.5配置iptables防火墙策略

    ###############配置filter表防火墙############### #清除预设表filter中的所有规则链的规则iptables -F #清除预设表filter中使用者自定链中的规则 ...

  9. 企业防火墙之iptables

    1.1 企业中安全优化配置原则 尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务. 大并发的情况,不能开iptables,影响性能, ...

随机推荐

  1. IOC 初始化源代码阅读之我见

    由于本人的能力有限,只能说出自己的见解,如有错漏什么的,请大家批评指出.由于代码封装太多,这里只列出了我认为的部分最重要的代码,一些简单的封装代码,不在下面列出.由于代码太过于复杂,在本次博客中,只列 ...

  2. 外部晶振的使用原因与内部RC振荡器的使用方法 _

    原因一 早些年,芯片的生产制作工艺也许还不能够将晶振做进芯片内部,但是现在可以了.这个问题主要还是实用性和成本决定的.   原因二 芯片和晶振的材料是不同的,芯片 (集成电路) 的材料是硅,而晶体则是 ...

  3. 如何在Ubuntu 18.04 LTS上安装和配置MongoDB

    MongoDB是一款非关系型数据库,提供高性能,高可用性和自动扩展企业数据库. MongoDB是一个非关系型数据库,因此您不能使用SQL(结构化查询语言)插入和检索数据,也不会将数据存储在MySQL或 ...

  4. 谈谈关于CSS中transform属性之scale

    谈谈关于scale属性 scale是什么? 根据W3C定义 ,scale主要是进行缩放和转化: scale能做什么? 1.1px细线 <div class="wrap"> ...

  5. numpy教程03---ndarray的运算

    欢迎关注公众号[Python开发实战], 获取更多内容! 工具-numpy numpy是使用Python进行数据科学的基础库.numpy以一个强大的N维数组对象为中心,它还包含有用的线性代数,傅里叶变 ...

  6. 02 | 自己动手,实现C++的智能指针

    第一步:针对单独类型的模板 为了完成智能指针首先第一步的想法. class shape_wrapper { public: explicit shape_wrapper( shape* ptr = n ...

  7. Linux磁盘分区fdisk命令操作(简洁版)

    实例(环境为: CentOS Linux release 7.2.1511 (Core), 3.10.0-327.el7.x86_64) 选择要具体操作的第二块磁盘(linux下一切是文件形式对应): ...

  8. Py点亮

  9. vue3项目后台管理系统模板

    Vue3.0 发布第一个版本至今有一段时间了,到现在一直在更新优化,在性能方面,对比 Vue2.x ,性能的提升比较明显,打包后体积更小 来看下 Vue3.x 新增了哪些功能和特性. Performa ...

  10. Cf #709 Div. 2 B. Restore Modulo 一个只有三千多人过的b题, 妙啊!

    传送门: https://codeforces.com/contest/1484/problem/B 原题 Example input 6 6 1 9 17 6 14 3 3 4 2 2 3 7 3 ...