前言:ipset 和 iptables 是两个不同但相关的工具,用于管理和操作防火墙规则。
iptables 是 Linux 系统上的经典防火墙工具,用于配置和管理网络数据包过滤规则,控制流量的进出。它使用链(chains)和规则(rules)的概念,基于数据包的源地址、目标地址、端口等信息进行过滤和转发。
ipset 是一个用于管理大规模 IP 地址集合的工具,它提供了高效的数据结构和命令行接口,用于存储和操作 IP 地址、网络和端口的集合。它与 iptables 结合使用,可以更高效地过滤和匹配数据包,提供优化性能和灵活性的防火墙规则管理方案。
实际上,ipset 和 iptables 通常结合使用,以提高防火墙规则的效率和管理能力。通过将 ipset 创建的 IP 地址集合与 iptables 结合,可以更快速地进行 IP 地址过滤和匹配操作。iptables 规则可以引用 ipset 的集合名称,从而将这些集合中的 IP 地址应用于具体的过滤规则。
使用 ipset 可以实现对 IP 地址的分组、分类和管理,而 iptables 提供了对数据包的详细控制和过滤功能。结合使用 ipset 和 iptables,可以更灵活和高效地管理大规模的 IP 地址集合和防火墙规则,提供更好的网络安全保护。
1. 直接来看一条命令
sudo ipset add myset_name 127.0.0.1
# 本条命令的意思是:在名为 myset_name 的一个集合中 添加(add)一条地址为127.0.0.1的ip
sudo ipset add myset_name 127.0.0.1-127.0.1.200
# 可以在一个ipset中批量加入ip地址,固定写法:中间以“-”连接,地址需要写全,不全会报错,加不进去
2. 如何创建一个ipset?
sudo ipset create myset hash:ip
# hash:ip表示创建一个使用 IP 地址作为元素的哈希集合。它指定了 ipset 的类型和数据结构,以便有效地存储和检索 IP 地址。冒号前面的部分(hash)表示 ipset 的类型,冒号后面的部分(ip)表示使用的数据类型。
#
# 类型可以是以下之一:
# hash:ip:使用 IP 地址作为元素的哈希集合。
# hash:net:使用 IP 网络(CIDR)作为元素的哈希集合。
# hash:ip,port:使用 IP 地址和端口号组合作为元素的哈希集合。
# hash:net,port:使用 IP 网络(CIDR)和端口号组合作为元素的哈希集合。
# 其他类型,如 list:set、bitmap:ip、bitmap:port 等。
#
# 也可以使用-N参数来代替create:sudo ipset -N myset_name hash:ip
sudo ipset create myset_name hash:ip maxelem 1000000
# ipset默认可以存储65536个元素,使用maxelem指定数量
3. 如何查看当前已有哪些ipset?
sudo ipset list
# 查看当前服务器已创建的ipset
sudo ipset list myset_name
# 查看myset_name表中已经添加的ip地址
4. 此时已经创建了一张ipset表,如何结合iptables使用呢?ipset有什么作用?
sudo iptables -I INPUT -m set ! --match-set myset_name src -p tcp -j DROP
# 本条命令的意思是:使用iptables的规则
# -I INPUT:这表示在 INPUT 链的开头插入规则 (详见下条 5.四表五链)
# -m set 表明要使用ipset扩展模块进行匹配
# !表示取反
# -p tcp 表明匹配 TCP 协议的数据包 (其他取值:tcp、udp、icmp、icmpv6、esp......)
# --match-set myset_name src 表明查找数据包的来源是否属于名为`myset_name`的ipset
# -J 表明如果匹配成功,则丢弃(DROP)掉 (其他取值:ACCEPT、DROP、REJECT、LOG......)
# 整条命令的意思是:使用 iptables 在头部插入一条规则,将未在 myset_name 中匹配到的源IP地址的TCP流量DROP
#
sudo iptables -A INPUT -p tcp -m multiport -dport 8081:8088 -m set ! --match-set myset_name src -j DROP
# 整条命令的意思是:使用 iptables 在尾部添加一条规则,将访问8081到8088的未在 myset_name 中匹配到的源IP地址的TCP流量DROP
#
# 大致语法:
# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
# 详见这里: https://man7.org/linux/man-pages/man8/iptables.8.html
5. 四表五链
sudo iptables -nvL
# 查看当前设置了哪些规则
#
# 五链:防火墙的规则需要写入具体的数据链中
# INPUT(入站数据过滤)
# OUTPUT(出站数据过滤)
# FORWARD(转发数据过滤)
# PREROUTING(路由前过滤)
# POSTROUTING(路由后过滤)
#
# 四表:有印象即可
# filter:负责过滤数据包,包括的规则链有:input,output和forward
# nat:用于网络地址转换(IP、端口),包括的规则链有:prerouting,postrouting 和 output
# mangle:主要应用在修改数据包、流量整形、给数据包打标识,默认的规则链有:INPUT,OUTPUT、 forward,POSTROUTING,PREROUTING
# raw:控制 nat 表中连接追踪机制的启用状况,可以控制的链路有 PREROUTING、OUTPUT
6. 添加错了,如何修改/删除一条iptables规则?
iptables -L INPUT --line-numbers
# 表明列出名为 INPUT 的 iptables 链的规则,并显示规则的行号
iptables -R INPUT 2 <new_rule>
# 使用-R参数,修改 INPUT 链中行号为 2 的规则,在 <new_rule> 的位置,替换为要设置的新规则
iptables -D INPUT 3
# 使用-D参数,删除 INPUT 链中行号为 3 的规则
7.持久化保存防火墙规则
所有对iptables规则的设置、删除、修改、都是即时生效的,无需手动重启或生效服务。但如果不保存,当计算机重启后所有的规则都会丢失,所以对防火墙规则进行及时保存的操作是非常必要的。
# 在 Ubuntu 系统中,可以使用以下方法保存和备份防火墙规则:
sudo iptables-save > firewall-rules.txt
# 使用 iptables-save 命令将当前的防火墙规则保存到文件中。可以将输出重定向到一个名为 firewall-rules.txt的文件中
sudo iptables-restore < 文件名称
# iptables-restore 命令可以批量导入Linux防火墙规则,同时也需要结合重定向输入来指定备份文件的位置
# 导入的文件必须是使用 iptables-save工具导出来的才可以!!!
参考文献:文章来源:https://www.toymoban.com/news/detail-624825.html
《一篇搞懂》系列之一 —— iptables
Linux iptables命令详解
Linux下iptables防火墙配置详解
Centos7 ipset命令介绍及使用文章来源地址https://www.toymoban.com/news/detail-624825.html
到了这里,关于ipset、iptables快速使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
