ipset的学习与使用

Posted 济南小老虎

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ipset的学习与使用相关的知识,希望对你有一定的参考价值。

ipset的学习与使用


场景说明

虽然可以通过:
firewall-cmd  --zone=trusted --add-source=$1 --permanent && firewall-cmd --reload
或者是
firewall-cmd --zone=public --add-port=$1/tcp --permanent && firewall-cmd --reload
为ip地址和端口开放里面, 但是每次还需要进行一下reload.  如果条目数过多之后
防火墙的reload和性能都不是特别好. 
最近在看博客, 突然发现有一个ipset的方式. 更加简单. 
也更利于实现单独的ip设置, 动态增删等. 

ChatGPT怎么说

ipset 是一个基于内核的数据结构,它可以用于管理 iptables 规则。
ipset 可以通过自定义集合来代替直接写入 iptables 规则。
这些集合可以包括 ip 地址、端口号、mac 地址等成员,并且可以在多个规则中重复使用,
从而简化了管理和维护的工作。
使用 ipset 命令创建、修改和删除集合,还可以将集合成员添加到集合中或从集合中移除成员。
在 iptables 规则中使用集合时,只需要引用集合的名称即可,而不必列出集合中的每个成员。

总之,ipset 是一个强大的工具,可以帮助用户管理 iptables 规则并加快网络流量过滤的速度。

安装

好像 centos 系列都会默认安装 ipset
ubuntu的机器可以使用 apt-get install ipset -y 的方式进行安装
centos的机器可以使用
yum install ipset -y 方式进行安装.
方式比较简单. 可以直接进进行使用. 

简介

帮助部分:
create SETNAME TYPENAME [type-specific-options]
        Create a new set
add SETNAME ENTRY
        Add entry to the named set
del SETNAME ENTRY
        Delete entry from the named set
test SETNAME ENTRY
        Test entry in the named set
destroy [SETNAME]
        Destroy a named set or all sets
list [SETNAME]
        List the entries of a named set or all sets
save [SETNAME]
        Save the named set or all sets to stdout
restore 
        Restore a saved state
flush [SETNAME]
        Flush a named set or all sets
rename FROM-SETNAME TO-SETNAME
        Rename two sets
swap FROM-SETNAME TO-SETNAME
        Swap the contect of two existing sets
help [TYPENAME]
        Print help, and settype specific help
version 
        Print version information
quit 
        Quit interactive mode

部分命令的使用

ipset create whitelist hash:ip
ipset create blacklist hash:ip
# 创建一个空的白名单. 
iptables -I INPUT -m set --match-set whitelist src -j ACCEPT
# 白名单设置为接收
iptables -I INPUT -m set --match-set blacklist src -j DROP
# 黑名单设置为拒绝. 

firewall-cmd 设置 ipset 的方式

firewall-cmd --get-ipset-types
获取支持的 ipset类型列表
firewall-cmd --get-ipsets
获取当前所有的ipset
firewall-cmd  --zone=trusted  --permanent --add-source=ipset:ipsetname
将某ipset 增加到特定区域中
firewall-cmd --add-rich-rule=\'rule source ipset=blacklist drop\'
设置黑名单 drop
firewall-cmd --zone=public --add-rich-rule=\'rule source ipset=whitelist accept\'
设置白名单 接收
firewall-cmd --zone=public --add-rich-rule=\'rule family="ipv4" source ipset=whitelist port port=22 protocol=tcp reject\'
将特定IP地址设置为不进行 22 端口的访问.

ipset命令详解

ipset add whitelist 10.110.80.0/21
将部分内网段添加到白名单
ipset list 
查看ipset的列表
ipset whitelist list 
查看白名单的信息
ipset flush whitelist
清空列表里面的信息
ipset destroy 
销毁所有的列表, 如果加上列表名称就是清理对应的列表. 
ip save whitelist -f zhaobsh.txt 
将白名单保存到具体文件
ipset restore -f zhaobsh.txt

iptables一次性封多个ip,使用ipset 工具

ipset是什么?

ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilter.org/

1、ipset安装

yum安装: yum install ipset

源代码安装:进官网下载ipset-6.30.tar.bz2 ,

yum -y install libmnl-devel libmnl

tar -jxvf ipset-6.30.tar.bz2  && cd ipset-6.30 && ./configure --prefix=/usr/local/ipset && make && make install   完成安装

2、创建一个ipset
ipset create allset hash:net (也可以是hash:ip ,这指的是单个ip)
2.1、查看已创建的ipset
2.2、ipset默认可以存储65536个元素,使用maxelem指定数量
ipset create openapi hash:net maxelem 1000000
ipset list
3、加入一个黑名单ip
ipset add allset 145.201.56.109
4、创建防火墙规则,与此同时,allset这个IP集里的ip都无法访问80端口(如:CC攻击可用)
iptables -I INPUT -m set --match-set allset src -p tcp --destination-port 80 -j DROP
service iptables save
5、去除黑名单,与此同时,又可以访问了
ipset del allset 145.201.56.109
6、将ipset规则保存到文件
ipset save allset -f allset.txt
7、删除ipset
ipset destroy allset
8、导入ipset规则
ipset restore -f allset.txt
 
注意:
1、ipset的一个优势是集合可以动态的修改,即使ipset的iptables规则目前已经启动,新加的入ipset的ip也生效
 

实例解释:

例:某服务器被CC攻击,经过抓包或者一序列手段发现有一批IP是源攻击ip,因此我们需要封掉这些IP,如果用iptables一条一条加就麻烦些了。
 
#对TIME_WAIT的外部ip以及此对ip出现的次数经行求重排序。
netstat -ptan | grep TIME_WAIT | awk ‘{print $5}‘ | awk -F: ‘{print $1}‘ |sort |uniq -c | sort -n -r
 
#tcpdump 抓取100个包,访问本机80的ip进行求重排序  只显示前20个,这些ip即为攻击源IP,我们需要封掉它
tcpdump -tnn dst port 80 -c 100 | awk -F"." ‘{print $1"."$2"."$3"."$4}‘ | sort | uniq -c | sort -n -r |head -20
 
#新建一个setname.txt文件,以如下格式加入这些ip (有多少个ip就多少行)
vim setname.txt
  add setname xxx.xxx.xxx.xxx
 
#导入setname.txt文件到ipset集
ipset restore -f setname.txt
 
#查看是否导入成功 (成功的话会发现一个新ipset名为 sername,且Members里就是那些攻击IP)
ipset list
 
#建立一条iptables规则,拦截这些攻击ip访问服务器80,也可以直接禁止这些ip的所有访问
iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP
 
 

以上是关于ipset的学习与使用的主要内容,如果未能解决你的问题,请参考以下文章

ipset 使用

Linux下使用 ipset 封大量IP及ipset参数说明

iptables之ipset使用介绍

重启后使用 ipset 的规则

iptables一次性封多个ip,使用ipset 工具

Linux使用iptables设置黑白名单使用ipset工具