一. 介绍

ipset命令是用于管理内核中IP sets模块的,如iptables之于netfilter。ipset字面意思是一些IP地址组成一个集合(set)。但是ipset用于用于存储IP地址,整个子网,端口号(TCP/UDP),MAC地址,网络接口名或者上述这些的组合。ipset主要是由iptables来使用,用于提高iptables的灵活性,简化iptables的规则。可能你在使用iptables时会感觉到以下不便:

1. 使用iptables命令为一批IP地址或端口应用相同的iptables规则时,不得不为每个IP或端口都新建一条iptables规则。这有时会让iptables某个表特别庞大,但是规则看起来又非常冗余。

2. 当需要给某个iptables规则应用到一个新的IP地址或端口时,我们不得不新建一条iptables规则;当需要给某个iptables规则删除其中某个IP地址或端口时,则需要直接删除那条iptables规则。这会让iptables操作特别繁琐。

ipset可以解决以上问题:

1. 当需要把一批IP地址或端口都应用某个iptables规则时,只需要把一批IP地址和端口放入一个ipset中,把iptables规则应用到这个ipset就可以了。

2. 当需要更新iptables规则的IP地址或端口时,只要更新对应ipset中的IP地址或端口就可以了,不需要修改iptables表。

二. ipset命令基本介绍与使用

格式:


  1. #ipset命令格式
  2. ipset [ OPTIONS ] COMMAND [ COMMAND−OPTIONS ]
  3. COMMANDS := { create | add | del | test | destroy | list | save | restore | flush | rename | swap | help |
  4. version | − }
  5. OPTIONS := { −exist | −output { plain | save | xml } | −quiet | −resolve | −sorted | −name | −terse | −file
  6. filename }
  7. ipset create SETNAME TYPENAME [ CREATE−OPTIONS ]
  8. ipset add SETNAME ADD−ENTRY [ ADD−OPTIONS ]
  9. ipset del SETNAME DEL−ENTRY [ DEL−OPTIONS ]
  10. ipset test SETNAME TEST−ENTRY [ TEST−OPTIONS ]
  11. ipset destroy [ SETNAME ]
  12. ipset list [ SETNAME ]
  13. ipset save [ SETNAME ]
  14. ipset restore
  15. ipset flush [ SETNAME ]
  16. ipset rename SETNAME−FROM SETNAME−TO
  17. ipset swap SETNAME−FROM SETNAME−TO
  18. ipset help [ TYPENAME ]
  19. ipset version
  20. ipset −

COMMAND选项介绍:

n, create SETNAME TYPENAME [ CREATE−OPTIONS ]

通过指定SETNAME和TYPENAME创建一个新IP集合。如果指定-exist选项,ipset在创建一个已经存在的IP集合时,ipset将不会报错。

add SETNAME ADD-ENTRY [ADD-OPTIONS]

添加一个条目到SETNAME指定的IP集合中。如果指定-exist选项,IP集合存在此条目时,ipset将不会报错。

del SETNAME DEL-ENTRY [ DEL-OPTIONS ]

从SETNAME指定的IP集合中删除一个条目。如果指定-exist选项,IP集合不存在此条目时,ipset将不会报错。

test SETNAME TEST-ENTRY [ TEST-OPTIONS ]

测试一个条目是否在指定的IP集合中。如果在,ipset命令返回0,如果不在,则返回非0

x,destory [ SETNAME ]

销毁指定的IP集合,如果不指定,则销毁所有的IP集合。如果某一IP集合正在被引用,则ipset不对该IP集合做任何操作。

list [ STENAME ] [ OPTIONS ]

列出指定IP集合的头部数据和添加的条目,如果没有指定,则是所有的IP集。--sorted选项会把IP集合排序后输出。--output指定IP集合输出的格式:


  1. # 创建名称为test的IP集
  2. ~ # ipset create test hash:ip
  3. # 添加114.114.114.114到test IP集中
  4. ~ # ipset add test 114.114.114.114
  5. # 以普通文本格式输出test IP集内容
  6. ~ # ipset list test -output plain
  7. Name: test
  8. Type: hash:ip
  9. Revision: 4
  10. Header: family inet hashsize 1024 maxelem 65536
  11. Size in memory: 8264
  12. References: 0
  13. Members:
  14. 114.114.114.114
  15. # 以保存格式输出test IP集内容
  16. ~ # ipset list test -output save
  17. create test hash:ip family inet hashsize 1024 maxelem 65536
  18. add test 114.114.114.114
  19. # 以XML格式输出test IP集内容
  20. ~ # ipset list test -output xml
  21. <ipsets>
  22. <ipset name="test">
  23. <type>hash:ip</type>
  24. <revision>4</revision>
  25. <header><family>inet</family><hashsize>1024</hashsize><maxelem>65536</maxelem>
  26. <memsize>8264</memsize>
  27. <references>0</references>
  28. </header>
  29. <members>
  30. <member><elem>114.114.114.114</elem></member>
  31. </members>
  32. </ipset>
  33. </ipsets>

save [ SETNAME ]

保存指定的IP集,如果没有指定,则是所有的IP集。如果不指定-file则是输出到标准输出,指定则是输出到指定文件。

~ # ipset save test -file /tmp/234

flush [ SETNAME ]

清空指定IP集,如果没有指定,则是所有的IP集。

e,rename SETNAME-FROM SETNAME-TO

重命名一个IP集

~ # ipset rename test test1

w,swap SETNAME-FROM SETNAME-TO

交换两个IP集的名称。但是两个IP集的必须存在而且SETTYPE兼容才可以。

其他选项:

timeout

设置IP集合添加的新条目的默认超时时间,新加的条目的时间超过超时时间后,将从IP集中删除。


  1. # test IP集新添加的条目的默认超时时间300s
  2. ipset create test hash:ip timeout 300
  3. # 192.168.0.1在60s后从test IP集中移除
  4. ipset add test 192.168.0.1 timeout 60

SET TYPE:

bitmap:ip

CREATE−OPTIONS := range fromip−toip|ip/cidr [ netmask cidr ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := { ip | fromip−toip | ip/cidr }
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := { ip | fromip−toip | ip/cidr }
TEST−ENTRY := ip

举例:

range fromip−toip | ip/cidr:


  1. # example 1
  2. ~ # ipset create test3 bitmap:ip range 192.168.0.1-192.168.0.255
  3. ~ # ipset add test3 192.168.1/24
  4. ~ # ipset list test3
  5. Name: test3
  6. Type: bitmap:ip
  7. Revision: 3
  8. Header: range 192.168.0.1-192.168.0.255
  9. Size in memory: 92
  10. References: 0
  11. Members:
  12. 192.168.0.1
  13. .
  14. .
  15. .
  16. 192.168.0.255
  17. # example 2
  18. ~ # ipset create test4 bitmap:ip range 192.168.0.1-192.168.0.100
  19. ~ #
  20. ~ # ipset add test4 192.168.0/24
  21. ipset v7.15: Element is out of the range of the set
  22. ~ #
  23. ~ # ipset add test4 192.168.0.100
  24. ~ # ipset list test4
  25. Name: test4
  26. Type: bitmap:ip
  27. Revision: 3
  28. Header: range 192.168.0.1-192.168.0.100
  29. Size in memory: 76
  30. References: 0
  31. Members:
  32. 192.168.0.100
  33. # example 3
  34. ~ # ipset create test5 bitmap:ip range 192.168.1.0/16
  35. ~ # ipset add test5 192.168.1/16
  36. ~ # ipset list test5
  37. Name: test5
  38. Type: bitmap:ip
  39. Revision: 3
  40. Header: range 192.168.0.0-192.168.255.255
  41. Size in memory: 8252
  42. References: 0
  43. Members:
  44. 192.168.0.1
  45. .
  46. .
  47. .
  48. 192.168.0.255
  49. .
  50. .
  51. .
  52. 192.168.255.255
  53. # example 4
  54. ~ # ipset create test6 bitmap:ip range 192.168.1.0/16
  55. ~ # ipset add test6 192.168.5/24
  56. ~ # ipset list test6
  57. Name: test6
  58. Type: bitmap:ip
  59. Revision: 3
  60. Header: range 192.168.0.0-192.168.255.255
  61. Size in memory: 8252
  62. References: 0
  63. Members:
  64. 192.168.0.1
  65. .
  66. .
  67. .
  68. 192.168.0.255

bitmap:ip,mac

CREATE−OPTIONS := range fromip−toip|ip/cidr [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ip[,macaddr]
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ip[,macaddr]
TEST−ENTRY := ip[,macaddr]

举例:

range fromip−toip|ip/cidr:


  1. ~ # ipset create test bitmap:ip,mac range 192.168.0.0/16
  2. ~ # ipset add test 192.168.1.1,12:34:56:78:9A:BC
  3. ~ # ipset add test 192.168.1.2
  4. ~ # ipset list test
  5. Name: test8
  6. Type: bitmap:ip,mac
  7. Revision: 3
  8. Header: range 192.168.0.0-192.168.255.255
  9. Size in memory: 532532
  10. References: 0
  11. Members:
  12. 192.168.1.1,12:34:56:78:9A:BC
  13. 192.168.1.2

bitmap:port

CREATE−OPTIONS := range fromport−toport [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := { [proto:]port | [proto:]fromport−toport }
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := { [proto:]port | [proto:]fromport−toport }
TEST−ENTRY := [proto:]port

举例:

range [proto:]fromport−toport:


  1. ~ # ipset create test bitmap:port range 1024-4096
  2. ~ # ipset add test 30000
  3. ipset v7.15: Element is out of the range of the set
  4. ~ #
  5. ~ # ipset add test 2048
  6. ~ #
  7. ~ # ipset list test
  8. Name: test
  9. Type: bitmap:port
  10. Revision: 3
  11. Header: range 1024-4096
  12. Size in memory: 436
  13. References: 0
  14. Members:
  15. 2048

hash:ip

CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ netmask cidr ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ipaddr
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ipaddr
TEST−ENTRY := ipaddr

举例:


  1. ~ # ipset create test hash:ip
  2. ~ # ipset add test 192.168.100.1

hash:mac

CREATE−OPTIONS := [ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := macaddr
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := macaddr
TEST−ENTRY := macaddr

举例:


  1. ~ # ipset create test hash:mac
  2. ~ # ipset add test 01:02:03:04:05:06
  3. ~ # ipset test test 01:02:03:04:05:06

hash:ip,mac

CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ipaddr,macaddr
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ipaddr,macaddr
TEST−ENTRY := ipaddr,macaddr

举例:


  1. ~ # ipset create test hash:ip,mac
  2. ~ # ipset add test 1.1.1.1,01:02:03:04:05:06
  3. ~ # ipset test test 1.1.1.1,01:02:03:04:05:06

hash:net

CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := netaddr
ADD−OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]

举例:


  1. ~ # ipset create test hash:net
  2. ~ # ipset add test 192.168.0.0/24
  3. ~ # ipset add test 10.1.0.0/16
  4. ~ # ipset add test 192.168.0/24
  5. ~ # ipset add test 192.168.0/30 nomatch

hash:net,net

CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := netaddr,netaddr
ADD−OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := netaddr,netaddr
ADD−OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]

举例:


  1. ~ # ipset create test hash:net,net
  2. ~ # ipset add test 192.168.0.0/24,10.0.1.0/24
  3. ~ # ipset add test 10.1.0.0/16,10.255.0.0/24
  4. ~ # ipset add test 192.168.0/24,192.168.54.0-192.168.54.255
  5. ~ # ipset add test 192.168.0/30,192.168.64/30 nomatch

hash:ip,port

CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ipaddr,[proto:]port
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ipaddr,[proto:]port
TEST−ENTRY := ipaddr,[proto:]port

举例:


  1. ~ # ipset create test hash:ip,port
  2. ~ # ipset add test 192.168.1.0/24,80−82
  3. ~ # ipset add test 192.168.1.1,udp:53
  4. ~ # ipset add test 192.168.1.1,vrrp:0
  5. ~ # ipset test test 192.168.1.1,80
  6. Warning: 192.168.1.1,80 is in set test.

[转帖]ipset命令介绍与基本使用的更多相关文章

  1. [转帖]十二 个经典 Linux 进程管理命令介绍

    https://www.cnblogs.com/swordxia/p/4550825.html 接了 http referer 头 没法显示图片 可以去原始blog 里面去查看.   随笔- 109  ...

  2. 12个Linux进程管理命令介绍(转)

    12个Linux进程管理命令介绍 [日期:2015-06-02] 来源:Linux中国  作者:Linux [字体:大 中 小]   执行中的程序在称作进程.当程序以可执行文件存放在存储中,并且运行的 ...

  3. 2.SDK目录结构和adb工具及命令介绍

    安卓开发学习笔记 1.安卓开发之环境搭建 2.SDK目录结构和adb工具及命令介绍 1.SDK目录介绍: ******************************** add-ons:Androi ...

  4. git各种命令介绍以及碰到的各种坑

    一.各种命令介绍: git pull:从其他的版本库(既可以是远程的也可以是本地的)将代码更新到本地,例如:'git pull origin master'就是将origin这个版本库的代码更新到本地 ...

  5. tar.xz如何解压:linux和windows下tar.xz解压命令介绍

    在linux下怎么解压和压缩tar.xz文件? (本文由www.169it.com搜集整理) 在linux下解压tar.xz文件步骤 1 2 # xz -d ***.tar.xz  //先解压xz # ...

  6. 查看MySQL数据库表的命令介绍

    如果需要查看MySQL数据库中都有哪些MySQL数据库表,应该如何实现呢?下面就为您介绍查看MySQL数据库表的命令,供您参考. 进入MySQL Command line client下查看当前使用的 ...

  7. Docker学习总结之Run命令介绍

    Docker学习总结之Run命令介绍 本文由Vikings(http://www.cnblogs.com/vikings-blog/) 原创,转载请标明.谢谢! 在使用Docker时,执行最多的命令某 ...

  8. maven常用命令介绍

    mvn 3.0.4 创建maven项目命令  mvn  archetype:generate   -DgroupId=damocles-autocredit -DartifactId=damocles ...

  9. Pacman命令介绍

    用pacman很久了,一直没有深入去研究到底它包含多少神秘的力量,每次都是pacman -Syu就简单的把所有升级更新问题搞定实在是让笔者懒惰了很多.不过也正是因为pacman的简单让笔者爱不释手,同 ...

  10. Android Debug Bridge命令介绍[转]

    Android Debug Bridge命令介绍 Android Debug Bridge的一些基本命令.这个工具直译过来就是Android调试桥的意思.它提供了强大的特性,例如复制文件到设备或从设备 ...

随机推荐

  1. Triple DES 加密解密技术解析

    摘要:本文介绍了Triple DES加密解密技术,通过实例演示了加密和解密过程,并对算法原理进行了简要分析.同时,探讨了Triple DES在现代信息安全领域的应用和局限性. 3DES(Triple ...

  2. Prometheus 快速入门

    Prometheus&Grafana快速入门 一.prometheus简介 prometheus是监控多个大数据组件的监控系统.Prometheus是由SoundCloud开发的开源监控报警系 ...

  3. C# 将Word转为PDF时,设置PDF文档保护

    本文以C#代码示例展示如何将Word转为PDF时,设置PDF文档保护,可设置PDF文档打开密码保护以及权限密码保护.附VB.NET代码,有需要可供参考. 程序环境: 1.Word测试文档:.docx ...

  4. 神经网络基础篇:详解逻辑回归 & m个样本梯度下降

    逻辑回归中的梯度下降 本篇讲解怎样通过计算偏导数来实现逻辑回归的梯度下降算法.它的关键点是几个重要公式,其作用是用来实现逻辑回归中梯度下降算法.但是在本博客中,将使用计算图对梯度下降算法进行计算.必须 ...

  5. 云图说 | 快速创建一个kubernetes集群

    摘要:3分钟快速创建您的第一个kubernetes虚拟机集群. 随着应用程序开发向基于容器的方向发展,编排和管理资源的需求变得越来越重要.Kubernetes是一个开源的.功能强大的容器编排系统,用于 ...

  6. 华为云举办AI经典论文复现活动,打造领先AI开发者学习社区

    摘要:百余篇经典论文算法上线华为云AI Gallery,学AI就用ModelArts 2020年8月28日,华为云AI院长峰会在杭州千岛湖举行,来自中国科学院.中国工程院的多位院士,以及清华大学.北京 ...

  7. 轻松带你学习java-agent

    摘要:java-agent是应用于java的trace工具,核心是对JVMTI(JVM Tool Interface)的调用. 本文分享自华为云社区<Java动态trace技术:java-age ...

  8. 华为云GaussDB深耕数字化下半场,持续打造数据库根技术

    摘要:华为云数据库CTO庄乾锋携华为云数据库多位技术专家和优秀合作伙伴共同参与DTCC2021大会并发表了重要主题演讲. 10月18日,以"数造未来"为主题的第12届中国数据库技术 ...

  9. ios安全加固 ios 加固方案

    ​ 目录 一.iOS加固保护原理 1.字符串混淆 2.类名.方法名混淆 3.程序结构混淆加密 4.反调试.反注入等一些主动保护策略 二 代码混淆步骤 1. 选择要混淆保护的ipa文件 2. 选择要混淆 ...

  10. 中国人的 Java 生态,Solon v2.5.3 发布

    Solon 是什么? 国产的 Java 应用开发框架.从零开始构建,有自己的标准规范与开放生态(历时五年,具备全球第二级别的生态规模).与其他框架相比,解决了两个重要的痛点:启动慢,费内存. 关键记事 ...