文档章节

Ipset

诸葛孔明亮
 诸葛孔明亮
发布于 2016/09/05 16:04
字数 424
阅读 20
收藏 0

前言

    IP sets are a framework inside the Linux kernel, which can be administered by the ipset utility. Depending on the type, an IP set may store IP addresses, networks, (TCP/UDP) port numbers, MAC addresses, interface names or combinations of them in a way, which ensures lightning speed when matching an entry against a set.

    IP集是Linux内核内的框架,它可以由IPSET实用程序。根据不同的类型,IP组可以存储IP地址,网络(TCP / UDP)端口号,MAC地址,接口名称,或在某种程度上,保证闪电般的速度匹配与一组条目中时,它们的组合。

 

使用

    ipset 一般用来辅助 iptables 使用;在iptables中,可以在创建规则的时候限制来源 IP,将这些 IP 地址写入多条 iptables 的规则(这些IP都是无规律性的),但是一旦要限制的 IP 过多的时候,当需要匹配几百甚至上千个IP地址的话,那么性能就会受到严重的影响,实测下来非常慢;

    ipset在这个方面做了很大的改善,其最主要是的在结构和规则的查找上面做了很大的改善,当出现上面的情况的时候,ipset对性能就始终稳定在一个相对值上。根据提供的测试结果表明,当规则在300-1500之间的时候其对性能的影响基本是水平线。所以当你的防火墙规则过多的时候不妨试试看。

ipset 添加黑名单

    ipset create openapi hash:net maxelem 1000000

    ipset add openapi 192.168.0.1

   使用 iptables 创建防火墙规则,openapi 这个 ipset 里的 ip 都无法访问 22 端口:

    iptables -I INPUT -m set --match-set openapi src -p tcp --destination-port 22 -j DROP

    

  

© 著作权归作者所有

下一篇: 恶意扫描软件
诸葛孔明亮
粉丝 2
博文 64
码字总数 53931
作品 0
浦东
运维
私信 提问
用ipset配置linux防火墙

iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptables是linux...

学习环境
2015/07/14
0
0
ipset_list 3.0 发布,netfilter ipset 封装脚本

ipset_list 3.0 发布,此版本包括了一些在帮助摘要上面的修复,还有一些代码的完善,现在 set 的名字可以指定为全局模式,选项 -n 可以设置只列出匹配其他参数的 set 名字。 ipset_list 是一...

oschina
2013/12/30
449
0
windows的又一个问题

最近在看ipset的代码,ipset实现了一个ip地址集合的操作,是linux中netfilter的操作子集,ipset在netfilter中起作用,它的逻辑很简单,基本是纯算法的,很少涉及到内核调试,所以想详细研究一...

晨曦之光
2012/04/10
26
0
ipset_list 3.1 发布,netfilter 封装脚本

ipset_list 3.1 发布了,改进记录包括: adds the new option -Hi. It allows arithmetic comparison on values of the sets' headers' "Header" flag (i.e., hashsize, timeout). The opti......

oschina
2014/02/07
1K
0
ipset 6.16.1 发布,网络设置工具

ipset 6.16.1 支持使用协议名称来替代端口号,例如 http (80);可根据需要自动增加 ipsets 数。 ipset 允许管理员设置 IP 地址/网络/端口/MAC 地址和网卡等,数据存储在哈希或bitmap 数据结构...

oschina
2012/12/05
324
0

没有更多内容

加载失败,请刷新页面

加载更多

好文:华杉:我等用功,不求日增,但求日减。减一分人欲,则增一分天理,这是何等简易!何等洒脱!

#写在前面1.怎么理解“减一分人欲,则增一分天理,这是何等简易!”?1)华杉提倡 “一劳永逸” 排除浪费,少干活,多赚钱,一战而定,降低作业成本。2)华杉提倡学海无涯,回头是岸...

阿锋zxf
17分钟前
1
0
vue 的bus总线

bus声明 global.bus = new Vue() 事件发送 controlTabbar () {global.bus.$emit('pickUp', 'ddd')}, 事件接收 global.bus.$on('pickUp', (res) => {this.isFocus = true})......

Js_Mei
22分钟前
2
0
大型系统演进之路-负载均衡演进

Nginx做负载均衡 通过Nginx的反向代理将请求分发到tomcat中,如果tomcat支持100并发,Nginx支持50000并发,理论上nginx把请求发送到500个tomcat就可以了。 LVS或F5做多个Nginx负载均衡 Tomc...

春哥大魔王的博客
27分钟前
4
0
Sqlite时间段查询中遇到的问题

问题: 我要查询DateTime时间其中的一段符合时间要求的数据,比如我要查询‘2019-06-06 16:50:00’至‘2019-06-06 16:59:00’这一段的数据 开始用这段代码 strSql= ("select * from Coll...

rainbowcode
31分钟前
2
0
大数据(hadoop-数据入库系统Sqoop原理架构)

Sqoop是什么 Sqoop:SQL-to-Hadoop 连接传统关系型数据库和Hadoop的桥梁 把关系型数据库的数据导入到 Hadoop 系统 ( 如 HDFS、HBase 和 Hive) 中; 把数据从 Hadoop 系统里抽取并导出到关系型...

这很耳东先生
46分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部