使用 ipset 设置地址集合简化 iptables 规则配置

beyes

下面介绍如何使用 ipset 设置地址集合简化 iptables 规则配置。

CentOS6.x 安装 ipset ：

1. yum install ipset

复制代码

在对服务器的维护中，可能随着时间越长，所添加的 iptables 规则越多，这时候会让我们管理起来会比较混乱（比如规则数达到了几百条），而且容易出错。通过 ipset 可以简化 iptables 规则配置。原理很简单，就是符合某种规则的 IP 都放到一个组里。这样一来，我们所要管理的是这个组，而不是逐条规则。

比如，打算屏蔽 60 个 IP 地址的进来流量，可能会依次执行下面的规则：

1. iptables -A INPUT -s 192.168.1.100 -j DROP

复制代码

也就是，会依次添加 192.168.1.100， 192.168.1.101 ... ... 192.168.1.159 。虽然这个可以使用脚本来完成，但是 iptables 规则列表依然会显示许多的规则条目。因此，使用下面介绍的 ipset 命令来创建一个组，以把这些 IP 都添加到组里来：

1. ipset -N blockips iphash

复制代码

其中，-N 选项后跟一个集合名，该名可自定义。

iphash 是采用了 hash 这种存储方式。实际上，它分为两部分，一是 ip，二是 hash 。ip 是数据类型，hash 是存储方法。

在创建了 IP 集合后，就可以使用 iptables 来使用该集合了，比如：

1. iptables -A INPUT -m set --set blockips src -j DROP

复制代码

--set 后接的就是上面创建的 IP 集合; src 表示来源。

现在就可以加入一个 IP 到 blockips 中了：

1. ipset -A blockips192.168.1.102

复制代码

这就是 ipset 的简单使用。更多信息可以使用 man 手册，或者访问官方站点：http://ipset.netfilter.org/ipset.man.html