CentOS7下firewall的ipset配置使用详解

admin

https://blog.csdn.net/github_36904248/article/details/82012579

1. 一、ipset概述
   
2. ipset与iptable
   
3. · iptables是在Linux内核中配置防火墙规则的用户空间工具。在内核版本更新到2.4以来，iptable一直作为系统中主要的防火墙解决方案。CentOS7将原来的iptable替换为firewall，而firewall提供了对ipset的支持。
   
4. · ipset相当于iptable的扩展，它和iptable 处理方式，iptable通过链表线性存储然后遍历来实现匹配。而ipset通过通过索引的数据结构设计达到快速匹配。这种设计使得当set配置比较庞大的时候，也可以高效地进行匹配。
   
5. 
   
6. 适用范围
   
7. · 存储多个IP地址或端口号，并在一个swoop中与iptables的集合相匹配;
   
8. · 在不影响性能的同时，针对IP地址或端口的变化动态更新iptables规则;
   
9. · 性能高，用一个iptables规则来表示复杂的IP地址和端口
   
10. 
    
11. 安装
    
12. 在CentOS7更新firewalld到最新版本，即可使用ipset，更新安装命令：
    
13. 1
    
14. yum install firewalld
    
15. 1
    
16. 二、ipset使用
    
17. 利用firewall-cmd对ipset进行操作
    
18. ipset的存储路径：/etc/firewalld/ipsets
    
19. 
    
20. 命令集合：
    
21. 
    
22. 获取指定ipset信息
    
23. 
    
24. firewall-cmd --info-ipset=[ipset_name]
    
25. 1
    
26. 增加ipset
    
27. 
    
28. firewall-cmd --permanent --new-ipset=[ipset_name] --type=[type] --option
    
29. 1
    
30. 其中option可不填，eg：–option=family=inet6指定该ipset使用IPV6地址。
    
31. 
    
32. 删除指定ipset
    
33. 
    
34. firewall-cmd --permanent --delete-ipset=[ipset_name]
    
35. 1
    
36. 删除后，在ipset目录下会有一个备份文件，例如：原来的ipset为test_set.xml，则删除后会生成一个test_set.xml.old.
    
37. 
    
38. 指定ipset中增加entry
    
39. 
    
40. firewall-cmd --permanent --ipset=[ipset_name] --add-entry=[xx.xx.xx.xx]
    
41. 1
    
42. 指定ipset中删除entry
    
43. 
    
44. firewall-cmd --permanent --ipset=[ipset_name] --remove-entry=[xx.xx.xx.xx]
    
45. 1
    
46. 删除entry
    
47. –permanent参数直接决定是否永久生效 需要执行firewall-cmd –reload，使其生效
    
48. 不加–permanent是直接生效（runtime environment），不会保存在相应的ipset的XML文件中，重启firewalld服务将会失效
    
49. 
    
50. IPSet Options
    
51. –get-ipset-types Print the supported ipset types
    
52. –new-ipset=<ipset> –type=<ipset type> [–option=<key>[=<value>]]..
    
53. Add a new ipset [P only]
    
54. –new-ipset-from-file=<filename> [–name=<ipset>]
    
55. Add a new ipset from file with optional name [P only]
    
56. –delete-ipset=<ipset>
    
57. Delete an existing ipset [P only]
    
58. –load-ipset-defaults=<ipset>
    
59. Load ipset default settings [P only]
    
60. –info-ipset=<ipset> Print information about an ipset
    
61. –path-ipset=<ipset> Print file path of an ipset [P only]
    
62. –get-ipsets Print predefined ipsets
    
63. –ipset=<ipset> –set-description=<description>
    
64. Set new description to ipset [P only]
    
65. –ipset=<ipset> –get-description
    
66. Print description for ipset [P only]
    
67. –ipset=<ipset> –set-short=<description>
    
68. Set new short description to ipset [P only]
    
69. –ipset=<ipset> –get-short
    
70. Print short description for ipset [P only]
    
71. –ipset=<ipset> –add-entry=<entry>
    
72. Add a new entry to an ipset [P]
    
73. –ipset=<ipset> –remove-entry=<entry>
    
74. Remove an entry from an ipset [P]
    
75. –ipset=<ipset> –query-entry=<entry>
    
76. Return whether ipset has an entry [P]
    
77. –ipset=<ipset> –get-entries
    
78. List entries of an ipset [P]
    
79. –ipset=<ipset> –add-entries-from-file=<entry>
    
80. Add a new entries to an ipset [P]
    
81. –ipset=<ipset> –remove-entries-from-file=<entry>
    
82. Remove entries from an ipset [P]
    
83. 
    
84. 三、ipset类型的区别
    
85. 1、hash:ip
    
86. 
    
87. 2、 hash:ip,mark
    
88. 
    
89. 3、hash:ip,port
    
90. 
    
91. 4、hash:ip,port,ip
    
92. 
    
93. 5、hash:ip,port,net
    
94. 
    
95. 6、 hash:mac
    
96. 
    
97. 7、hash:net
    
98. 
    
99. 8、hash:net,iface
    
100. 
     
101. 9、hash:net,net
     
102. 
     
103. 10、hash:net,port
     
104. 
     
105. 11、hash:net,port,net
     
106. 
     
107. 参考文献
     
108. 1、https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset
     
109. 2、https://firewalld.org/2015/12/ipset-support
     
110. 3、https://firewalld.org/documentation/man-pages/firewalld.ipset

复制代码