ipset的学习与使用

ipset的学习与使用

---

场景说明

虽然可以通过:
firewall-cmd  --zone=trusted --add-source=$1 --permanent && firewall-cmd --reload
或者是
firewall-cmd --zone=public --add-port=$1/tcp --permanent && firewall-cmd --reload
为ip地址和端口开放里面, 但是每次还需要进行一下reload.  如果条目数过多之后
防火墙的reload和性能都不是特别好.
最近在看博客, 突然发现有一个ipset的方式. 更加简单.
也更利于实现单独的ip设置, 动态增删等.

---

ChatGPT怎么说

ipset 是一个基于内核的数据结构，它可以用于管理 iptables 规则。
ipset 可以通过自定义集合来代替直接写入 iptables 规则。
这些集合可以包括 ip 地址、端口号、mac 地址等成员，并且可以在多个规则中重复使用，
从而简化了管理和维护的工作。
使用 ipset 命令创建、修改和删除集合，还可以将集合成员添加到集合中或从集合中移除成员。
在 iptables 规则中使用集合时，只需要引用集合的名称即可，而不必列出集合中的每个成员。

总之，ipset 是一个强大的工具，可以帮助用户管理 iptables 规则并加快网络流量过滤的速度。

---

安装

好像 centos 系列都会默认安装 ipset
ubuntu的机器可以使用 apt-get install ipset -y 的方式进行安装
centos的机器可以使用
yum install ipset -y 方式进行安装.
方式比较简单. 可以直接进进行使用.

---

简介

帮助部分:
create SETNAME TYPENAME [type-specific-options]
        Create a new set
add SETNAME ENTRY
        Add entry to the named set
del SETNAME ENTRY
        Delete entry from the named set
test SETNAME ENTRY
        Test entry in the named set
destroy [SETNAME]
        Destroy a named set or all sets
list [SETNAME]
        List the entries of a named set or all sets
save [SETNAME]
        Save the named set or all sets to stdout
restore
        Restore a saved state
flush [SETNAME]
        Flush a named set or all sets
rename FROM-SETNAME TO-SETNAME
        Rename two sets
swap FROM-SETNAME TO-SETNAME
        Swap the contect of two existing sets
help [TYPENAME]
        Print help, and settype specific help
version
        Print version information
quit
        Quit interactive mode

---

部分命令的使用

ipset create whitelist hash:ip
ipset create blacklist hash:ip
# 创建一个空的白名单.
iptables -I INPUT -m set --match-set whitelist src -j ACCEPT
# 白名单设置为接收
iptables -I INPUT -m set --match-set blacklist src -j DROP
# 黑名单设置为拒绝.

firewall-cmd 设置 ipset 的方式

firewall-cmd --get-ipset-types
获取支持的 ipset类型列表
firewall-cmd --get-ipsets
获取当前所有的ipset
firewall-cmd  --zone=trusted  --permanent --add-source=ipset:ipsetname
将某ipset 增加到特定区域中
firewall-cmd --add-rich-rule='rule source ipset=blacklist drop'
设置黑名单 drop
firewall-cmd --zone=public --add-rich-rule='rule source ipset=whitelist accept'
设置白名单 接收
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source ipset=whitelist port port=22 protocol=tcp reject'
将特定IP地址设置为不进行 22 端口的访问.

---

ipset命令详解

ipset add whitelist 10.110.80.0/21
将部分内网段添加到白名单
ipset list
查看ipset的列表
ipset whitelist list
查看白名单的信息
ipset flush whitelist
清空列表里面的信息
ipset destroy
销毁所有的列表, 如果加上列表名称就是清理对应的列表.
ip save whitelist -f zhaobsh.txt
将白名单保存到具体文件
ipset restore -f zhaobsh.txt