tiknovel.com tiknovel

技术圈

当前位置:首页 > 技术圈

iptables+ipset的组合拳来灵活设置访权限

iptables+ipset的组合拳来灵活设置访权限

如果有1万个白名单IP/CIDR, 往iptables里写1万条规则不现实也严重影响性能,这个时候可以把1万个ip、CIDR放到一个ipset里面,然后再在iptables里添加一条规则就可以了。动态增删白名单只需要动态修改ipset就可以了,iptables规则不需要修改

案例:
#timeout 259200是集合内新增的IP有三天的寿命
ipset create myset hash:net timeout 259200  //myset 还是空的

ipset add myset 100.1.2.0/24 //从set中增加ip段,也可以是一个ip,可以反复添加不同ip

//iptables 添加规则,对myset里面的所有ip访问端口1234 放行
iptables -N white_rule
iptables -A white_rule -m set --match-set myset src -p tcp --dport 1234 -j ACCEPT

限制:要求对所有ip规则一样才适用

image.png

相关内容

评论排行榜