如果有1万个白名单IP/CIDR, 往iptables里写1万条规则不现实也严重影响性能,这个时候可以把1万个ip、CIDR放到一个ipset里面,然后再在iptables里添加一条规则就可以了。动态增删白名单只需要动态修改ipset就可以了,iptables规则不需要修改
案例:
#timeout 259200是集合内新增的IP有三天的寿命
ipset create myset hash:net timeout 259200 //myset 还是空的
ipset add myset 100.1.2.0/24 //从set中增加ip段,也可以是一个ip,可以反复添加不同ip
//iptables 添加规则,对myset里面的所有ip访问端口1234 放行
iptables -N white_rule
iptables -A white_rule -m set --match-set myset src -p tcp --dport 1234 -j ACCEPT
限制:要求对所有ip规则一样才适用
OpenAI惊天剽窃!20岁创始人自曝代码结构被抄袭,多智能体Swarm陷争议
2024-10-13Shadow Slave Chapter 898 Going For A Swim
2024-10-27