[转帖]ipset命令介绍与基本使用
一. 介绍
ipset命令是用于管理内核中IP sets模块的,如iptables之于netfilter。ipset字面意思是一些IP地址组成一个集合(set)。但是ipset用于用于存储IP地址,整个子网,端口号(TCP/UDP),MAC地址,网络接口名或者上述这些的组合。ipset主要是由iptables来使用,用于提高iptables的灵活性,简化iptables的规则。可能你在使用iptables时会感觉到以下不便:
1. 使用iptables命令为一批IP地址或端口应用相同的iptables规则时,不得不为每个IP或端口都新建一条iptables规则。这有时会让iptables某个表特别庞大,但是规则看起来又非常冗余。
2. 当需要给某个iptables规则应用到一个新的IP地址或端口时,我们不得不新建一条iptables规则;当需要给某个iptables规则删除其中某个IP地址或端口时,则需要直接删除那条iptables规则。这会让iptables操作特别繁琐。
ipset可以解决以上问题:
1. 当需要把一批IP地址或端口都应用某个iptables规则时,只需要把一批IP地址和端口放入一个ipset中,把iptables规则应用到这个ipset就可以了。
2. 当需要更新iptables规则的IP地址或端口时,只要更新对应ipset中的IP地址或端口就可以了,不需要修改iptables表。
二. ipset命令基本介绍与使用
格式:
-
#ipset命令格式
-
ipset [ OPTIONS ] COMMAND [ COMMAND−OPTIONS ]
-
-
COMMANDS := { create | add | del | test | destroy | list | save | restore | flush | rename | swap | help |
-
version | − }
-
-
OPTIONS := { −exist | −output { plain | save | xml } | −quiet | −resolve | −sorted | −name | −terse | −file
-
filename }
-
-
ipset create SETNAME TYPENAME [ CREATE−OPTIONS ]
-
ipset add SETNAME ADD−ENTRY [ ADD−OPTIONS ]
-
ipset del SETNAME DEL−ENTRY [ DEL−OPTIONS ]
-
ipset test SETNAME TEST−ENTRY [ TEST−OPTIONS ]
-
ipset destroy [ SETNAME ]
-
ipset list [ SETNAME ]
-
ipset save [ SETNAME ]
-
ipset restore
-
ipset flush [ SETNAME ]
-
ipset rename SETNAME−FROM SETNAME−TO
-
ipset swap SETNAME−FROM SETNAME−TO
-
ipset help [ TYPENAME ]
-
ipset version
-
ipset −
COMMAND选项介绍:
n, create SETNAME TYPENAME [ CREATE−OPTIONS ]
通过指定SETNAME和TYPENAME创建一个新IP集合。如果指定-exist选项,ipset在创建一个已经存在的IP集合时,ipset将不会报错。
add SETNAME ADD-ENTRY [ADD-OPTIONS]
添加一个条目到SETNAME指定的IP集合中。如果指定-exist选项,IP集合存在此条目时,ipset将不会报错。
del SETNAME DEL-ENTRY [ DEL-OPTIONS ]
从SETNAME指定的IP集合中删除一个条目。如果指定-exist选项,IP集合不存在此条目时,ipset将不会报错。
test SETNAME TEST-ENTRY [ TEST-OPTIONS ]
测试一个条目是否在指定的IP集合中。如果在,ipset命令返回0,如果不在,则返回非0
x,destory [ SETNAME ]
销毁指定的IP集合,如果不指定,则销毁所有的IP集合。如果某一IP集合正在被引用,则ipset不对该IP集合做任何操作。
list [ STENAME ] [ OPTIONS ]
列出指定IP集合的头部数据和添加的条目,如果没有指定,则是所有的IP集。--sorted选项会把IP集合排序后输出。--output指定IP集合输出的格式:
-
# 创建名称为test的IP集
-
~ # ipset create test hash:ip
-
-
# 添加114.114.114.114到test IP集中
-
~ # ipset add test 114.114.114.114
-
-
# 以普通文本格式输出test IP集内容
-
~ # ipset list test -output plain
-
Name: test
-
Type: hash:ip
-
Revision: 4
-
Header: family inet hashsize 1024 maxelem 65536
-
Size in memory: 8264
-
References: 0
-
Members:
-
114.114.114.114
-
-
# 以保存格式输出test IP集内容
-
~ # ipset list test -output save
-
create test hash:ip family inet hashsize 1024 maxelem 65536
-
add test 114.114.114.114
-
-
# 以XML格式输出test IP集内容
-
~ # ipset list test -output xml
-
<ipsets>
-
<ipset name="test">
-
<type>hash:ip</type>
-
<revision>4</revision>
-
<header><family>inet</family><hashsize>1024</hashsize><maxelem>65536</maxelem>
-
<memsize>8264</memsize>
-
<references>0</references>
-
</header>
-
<members>
-
<member><elem>114.114.114.114</elem></member>
-
</members>
-
</ipset>
-
</ipsets>
save [ SETNAME ]
保存指定的IP集,如果没有指定,则是所有的IP集。如果不指定-file则是输出到标准输出,指定则是输出到指定文件。
~ # ipset save test -file /tmp/234
flush [ SETNAME ]
清空指定IP集,如果没有指定,则是所有的IP集。
e,rename SETNAME-FROM SETNAME-TO
重命名一个IP集
~ # ipset rename test test1
w,swap SETNAME-FROM SETNAME-TO
交换两个IP集的名称。但是两个IP集的必须存在而且SETTYPE兼容才可以。
其他选项:
timeout
设置IP集合添加的新条目的默认超时时间,新加的条目的时间超过超时时间后,将从IP集中删除。
-
# test IP集新添加的条目的默认超时时间300s
-
ipset create test hash:ip timeout 300
-
-
# 192.168.0.1在60s后从test IP集中移除
-
ipset add test 192.168.0.1 timeout 60
SET TYPE:
bitmap:ip
CREATE−OPTIONS := range fromip−toip|ip/cidr [ netmask cidr ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := { ip | fromip−toip | ip/cidr }
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := { ip | fromip−toip | ip/cidr }
TEST−ENTRY := ip
举例:
range fromip−toip | ip/cidr:
-
# example 1
-
~ # ipset create test3 bitmap:ip range 192.168.0.1-192.168.0.255
-
~ # ipset add test3 192.168.1/24
-
~ # ipset list test3
-
Name: test3
-
Type: bitmap:ip
-
Revision: 3
-
Header: range 192.168.0.1-192.168.0.255
-
Size in memory: 92
-
References: 0
-
Members:
-
192.168.0.1
-
.
-
.
-
.
-
192.168.0.255
-
-
-
# example 2
-
~ # ipset create test4 bitmap:ip range 192.168.0.1-192.168.0.100
-
~ #
-
~ # ipset add test4 192.168.0/24
-
ipset v7.15: Element is out of the range of the set
-
~ #
-
~ # ipset add test4 192.168.0.100
-
~ # ipset list test4
-
Name: test4
-
Type: bitmap:ip
-
Revision: 3
-
Header: range 192.168.0.1-192.168.0.100
-
Size in memory: 76
-
References: 0
-
Members:
-
192.168.0.100
-
-
-
# example 3
-
~ # ipset create test5 bitmap:ip range 192.168.1.0/16
-
~ # ipset add test5 192.168.1/16
-
~ # ipset list test5
-
Name: test5
-
Type: bitmap:ip
-
Revision: 3
-
Header: range 192.168.0.0-192.168.255.255
-
Size in memory: 8252
-
References: 0
-
Members:
-
192.168.0.1
-
.
-
.
-
.
-
192.168.0.255
-
.
-
.
-
.
-
192.168.255.255
-
-
-
# example 4
-
~ # ipset create test6 bitmap:ip range 192.168.1.0/16
-
~ # ipset add test6 192.168.5/24
-
~ # ipset list test6
-
Name: test6
-
Type: bitmap:ip
-
Revision: 3
-
Header: range 192.168.0.0-192.168.255.255
-
Size in memory: 8252
-
References: 0
-
Members:
-
192.168.0.1
-
.
-
.
-
.
-
192.168.0.255
bitmap:ip,mac
CREATE−OPTIONS := range fromip−toip|ip/cidr [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ip[,macaddr]
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ip[,macaddr]
TEST−ENTRY := ip[,macaddr]
举例:
range fromip−toip|ip/cidr:
-
~ # ipset create test bitmap:ip,mac range 192.168.0.0/16
-
~ # ipset add test 192.168.1.1,12:34:56:78:9A:BC
-
~ # ipset add test 192.168.1.2
-
~ # ipset list test
-
Name: test8
-
Type: bitmap:ip,mac
-
Revision: 3
-
Header: range 192.168.0.0-192.168.255.255
-
Size in memory: 532532
-
References: 0
-
Members:
-
192.168.1.1,12:34:56:78:9A:BC
-
192.168.1.2
bitmap:port
CREATE−OPTIONS := range fromport−toport [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := { [proto:]port | [proto:]fromport−toport }
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := { [proto:]port | [proto:]fromport−toport }
TEST−ENTRY := [proto:]port
举例:
range [proto:]fromport−toport:
-
~ # ipset create test bitmap:port range 1024-4096
-
~ # ipset add test 30000
-
ipset v7.15: Element is out of the range of the set
-
~ #
-
~ # ipset add test 2048
-
~ #
-
~ # ipset list test
-
Name: test
-
Type: bitmap:port
-
Revision: 3
-
Header: range 1024-4096
-
Size in memory: 436
-
References: 0
-
Members:
-
2048
hash:ip
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ netmask cidr ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ipaddr
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ipaddr
TEST−ENTRY := ipaddr
举例:
-
~ # ipset create test hash:ip
-
~ # ipset add test 192.168.100.1
hash:mac
CREATE−OPTIONS := [ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := macaddr
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := macaddr
TEST−ENTRY := macaddr
举例:
-
~ # ipset create test hash:mac
-
~ # ipset add test 01:02:03:04:05:06
-
~ # ipset test test 01:02:03:04:05:06
hash:ip,mac
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ipaddr,macaddr
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ipaddr,macaddr
TEST−ENTRY := ipaddr,macaddr
举例:
-
~ # ipset create test hash:ip,mac
-
~ # ipset add test 1.1.1.1,01:02:03:04:05:06
-
~ # ipset test test 1.1.1.1,01:02:03:04:05:06
hash:net
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := netaddr
ADD−OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
举例:
-
~ # ipset create test hash:net
-
~ # ipset add test 192.168.0.0/24
-
~ # ipset add test 10.1.0.0/16
-
~ # ipset add test 192.168.0/24
-
~ # ipset add test 192.168.0/30 nomatch
hash:net,net
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := netaddr,netaddr
ADD−OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := netaddr,netaddr
ADD−OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
举例:
-
~ # ipset create test hash:net,net
-
~ # ipset add test 192.168.0.0/24,10.0.1.0/24
-
~ # ipset add test 10.1.0.0/16,10.255.0.0/24
-
~ # ipset add test 192.168.0/24,192.168.54.0-192.168.54.255
-
~ # ipset add test 192.168.0/30,192.168.64/30 nomatch
hash:ip,port
CREATE−OPTIONS := [ family { inet | inet6 }]|[ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD−ENTRY := ipaddr,[proto:]port
ADD−OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL−ENTRY := ipaddr,[proto:]port
TEST−ENTRY := ipaddr,[proto:]port
举例:
-
~ # ipset create test hash:ip,port
-
~ # ipset add test 192.168.1.0/24,80−82
-
~ # ipset add test 192.168.1.1,udp:53
-
~ # ipset add test 192.168.1.1,vrrp:0
-
~ # ipset test test 192.168.1.1,80
-
Warning: 192.168.1.1,80 is in set test.
[转帖]ipset命令介绍与基本使用的更多相关文章
- [转帖]十二 个经典 Linux 进程管理命令介绍
https://www.cnblogs.com/swordxia/p/4550825.html 接了 http referer 头 没法显示图片 可以去原始blog 里面去查看. 随笔- 109 ...
- 12个Linux进程管理命令介绍(转)
12个Linux进程管理命令介绍 [日期:2015-06-02] 来源:Linux中国 作者:Linux [字体:大 中 小] 执行中的程序在称作进程.当程序以可执行文件存放在存储中,并且运行的 ...
- 2.SDK目录结构和adb工具及命令介绍
安卓开发学习笔记 1.安卓开发之环境搭建 2.SDK目录结构和adb工具及命令介绍 1.SDK目录介绍: ******************************** add-ons:Androi ...
- git各种命令介绍以及碰到的各种坑
一.各种命令介绍: git pull:从其他的版本库(既可以是远程的也可以是本地的)将代码更新到本地,例如:'git pull origin master'就是将origin这个版本库的代码更新到本地 ...
- tar.xz如何解压:linux和windows下tar.xz解压命令介绍
在linux下怎么解压和压缩tar.xz文件? (本文由www.169it.com搜集整理) 在linux下解压tar.xz文件步骤 1 2 # xz -d ***.tar.xz //先解压xz # ...
- 查看MySQL数据库表的命令介绍
如果需要查看MySQL数据库中都有哪些MySQL数据库表,应该如何实现呢?下面就为您介绍查看MySQL数据库表的命令,供您参考. 进入MySQL Command line client下查看当前使用的 ...
- Docker学习总结之Run命令介绍
Docker学习总结之Run命令介绍 本文由Vikings(http://www.cnblogs.com/vikings-blog/) 原创,转载请标明.谢谢! 在使用Docker时,执行最多的命令某 ...
- maven常用命令介绍
mvn 3.0.4 创建maven项目命令 mvn archetype:generate -DgroupId=damocles-autocredit -DartifactId=damocles ...
- Pacman命令介绍
用pacman很久了,一直没有深入去研究到底它包含多少神秘的力量,每次都是pacman -Syu就简单的把所有升级更新问题搞定实在是让笔者懒惰了很多.不过也正是因为pacman的简单让笔者爱不释手,同 ...
- Android Debug Bridge命令介绍[转]
Android Debug Bridge命令介绍 Android Debug Bridge的一些基本命令.这个工具直译过来就是Android调试桥的意思.它提供了强大的特性,例如复制文件到设备或从设备 ...
随机推荐
- Triple DES 加密解密技术解析
摘要:本文介绍了Triple DES加密解密技术,通过实例演示了加密和解密过程,并对算法原理进行了简要分析.同时,探讨了Triple DES在现代信息安全领域的应用和局限性. 3DES(Triple ...
- Prometheus 快速入门
Prometheus&Grafana快速入门 一.prometheus简介 prometheus是监控多个大数据组件的监控系统.Prometheus是由SoundCloud开发的开源监控报警系 ...
- C# 将Word转为PDF时,设置PDF文档保护
本文以C#代码示例展示如何将Word转为PDF时,设置PDF文档保护,可设置PDF文档打开密码保护以及权限密码保护.附VB.NET代码,有需要可供参考. 程序环境: 1.Word测试文档:.docx ...
- 神经网络基础篇:详解逻辑回归 & m个样本梯度下降
逻辑回归中的梯度下降 本篇讲解怎样通过计算偏导数来实现逻辑回归的梯度下降算法.它的关键点是几个重要公式,其作用是用来实现逻辑回归中梯度下降算法.但是在本博客中,将使用计算图对梯度下降算法进行计算.必须 ...
- 云图说 | 快速创建一个kubernetes集群
摘要:3分钟快速创建您的第一个kubernetes虚拟机集群. 随着应用程序开发向基于容器的方向发展,编排和管理资源的需求变得越来越重要.Kubernetes是一个开源的.功能强大的容器编排系统,用于 ...
- 华为云举办AI经典论文复现活动,打造领先AI开发者学习社区
摘要:百余篇经典论文算法上线华为云AI Gallery,学AI就用ModelArts 2020年8月28日,华为云AI院长峰会在杭州千岛湖举行,来自中国科学院.中国工程院的多位院士,以及清华大学.北京 ...
- 轻松带你学习java-agent
摘要:java-agent是应用于java的trace工具,核心是对JVMTI(JVM Tool Interface)的调用. 本文分享自华为云社区<Java动态trace技术:java-age ...
- 华为云GaussDB深耕数字化下半场,持续打造数据库根技术
摘要:华为云数据库CTO庄乾锋携华为云数据库多位技术专家和优秀合作伙伴共同参与DTCC2021大会并发表了重要主题演讲. 10月18日,以"数造未来"为主题的第12届中国数据库技术 ...
- ios安全加固 ios 加固方案
目录 一.iOS加固保护原理 1.字符串混淆 2.类名.方法名混淆 3.程序结构混淆加密 4.反调试.反注入等一些主动保护策略 二 代码混淆步骤 1. 选择要混淆保护的ipa文件 2. 选择要混淆 ...
- 中国人的 Java 生态,Solon v2.5.3 发布
Solon 是什么? 国产的 Java 应用开发框架.从零开始构建,有自己的标准规范与开放生态(历时五年,具备全球第二级别的生态规模).与其他框架相比,解决了两个重要的痛点:启动慢,费内存. 关键记事 ...