Ipset 的使用

于 2024-04-10 22:48:54 发布
阅读量691 收藏 10
点赞数 21
分类专栏: Linux 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A152419/article/details/137614414
版权

1. ipset 的作用

ipset 是 Linux 内核的一个数据结构,可由 ipset 程序管理。取决在于类型上, ipset 可以存储 IP 地址, 网络, (TCP/UDP) 端口号, MAC地址, 接口名称或它们的组合,以确保将条目与集合匹配时的闪电速度。

  • 存储多个 IP 地址或端口号并匹配 iptables 一举收集;
  • 针对 IP 地址或端口动态更新 iptables 规则,而不会降低性能;
  • 通过一个 iptables 规则和优势表达基于 IP 地址和端口的复杂规则集 从 IP 集的速度。

2. ipset 使用方法

// 创建
ipset create myset hash:ip
ipset create myset hash:net

// 销毁
ipset destroy myset

// 添加条目
ipset add myset 192.168.1.1

// 删除,清空条目
ipset del myset 192.168.1.1
ipset flush myset
ipset flush

// 查询条目
ipset list
ipset list myset

// 测试条目
ipset test myset 192.168.1.1

// ipset 和 iptables
iptables -I INPUT -m set --match-set myset src -m set --match-set myset1 dst -p tcp -j DROP

// 规则保存到文件
ipset save myset -f myset.txt

// 导入规则
ipset restore -f myset.txt

// 超时时间
ipset create myset hash:net timeout 600
默认值 0,表示永久。

// family 支持 默认inet
ipset create myset hash:ip family inet
ipset create myset hash:ip family inet6

3. ipset datatype

名称

说明

示例

bitmap:ip

使用内存范围存储 IPv4 格式的主机或网络地址。可存储 65536 个条目。

ipset create foo bitmap:ip range 192.168.0.0/16

bitmap:ip,mac

使用内存范围存储 IPv4 + MAC 地址。可存储 65536 个条目。

ipset create foo bitmap:ip,mac range 192.168.0.0/16

bitmap:port

使用内存范围存储端口号。可存储 65536 个端口条目。

ipset create foo bitmap:port range 0-1024

hash:ip

使用散列存储 IP 或网络地址。

ipset create foo hash:ip netmask 30

hash:mac

使用散列存储 MAC 地址。

ipset create foo hash:mac

hash:ip,mac

使用散列存储 IP + MAC 地址。

ipset create foo hash:ip,mac

hash:net

使用散列存储网络地址。

ipset create foo hash:net

hash:net,net

使用散列存储网络地址 + 网络地址。

ipset create foo hash:net,net

hash:ip,port

使用散列存储 IP + 端口。

ipset create foo hash:ip,port

hash:net,port

使用散列存储网络地址 + 端口。

ipset create foo hash:net,port

hash:ip,port,ip

使用散列存储 IP + 端口 + IP。

ipset create foo hash:ip,port,ip

hash:ip,port,net

使用散列存储 IP + 端口 + 网络地址。

ipset create foo hash:ip,port,net

hash:ip,mark

使用散列存储 IP + 包标记。

ipset create foo hash:ip,mark

hash:net,port,net

使用哈希存储网络地址 + 端口 + 网络地址。

ipset create foo hash:net,port,net

hash:net,iface

使用散列存储网络地址 + 网卡名称。

ipset create foo hash:net,iface

list:set

使用列表存储集合名称。

4. ipset API

#include <libipset/ipset.h>

//在库中加载支持的 ipset 类型并使它们 可用于 IPSET 接口。
void ipset_load_types(void)

//初始化 ipset 接口:分配并初始化所需的内部结构,打开 NetLink 通道。
//函数返回 类型为 struct ipset * 或 NULL 的库接口结构,失败时为 NULL。
struct ipset * ipset_init(void)

//使用已经初始化的ipset库结构解析字符串argv数组的argc长度。
//如果命令解析成功,则将其提交给内核执行。在错误的情况下,打印文本错误消息并返回负数。
int ipset_parse_argv(struct ipset *ipset, int argc, char *argv[])

//该行应该包含还原格式的单个ipset命令。如果命令解析成功,则将其提交给内核执行。
//在错误的情况下,打印文本错误消息并返回负数。
int ipset_parse_line(struct ipset *ipset, char *line)

//流可能包含还原格式的多个换行符分隔的ipset命令。
//对命令进行解析,然后分批提交给内核,以提高效率。在错误的情况下,打印文本错误消息并返回负数。
int ipset_parse_stream(struct ipset *ipset, FILE *f)

//关闭 netlink 通道,关闭打开的流并释放分配的流 由 IPSET 库结构保存的结构。
int ipset_fini(struct ipset *ipset)

//这个函数用于设置自定义的错误处理和输出方式。
int ipset_custom_printf(struct ipset *ipset, ipset_custom_errorfn custom_error,
                        ipset_standard_errorfn standard_error, ipset_print_outfn outfn, void *p)

//这个函数用于创建一个 IP 集合会话,返回一个指向会话对象的指针。
struct ipset_session * ipset_session(struct ipset *ipset)

//这个函数用于进行完全的输入输出操作,可以将 IP 集合会话保存到文件中或从文件中加载。
int ipset_session_full_io(struct ipset_session *session, const char *filename, enum ipset_io_type what)

//这个函数用于进行普通的输入输出操作,可以将 IP 集合会话保存到文件中或从文件中加载。
int ipset_session_normal_io(struct ipset_session *session, const char *filename, enum ipset_io_type what)

//这个函数用于获取 IP 集合会话的文件流,可以用于进一步的文件操作。
FILE * ipset_session_io_stream(struct ipset_session *session, enum ipset_io_type what)

//这个函数用于关闭 IP 集合会话的文件流。
int ipset_session_io_close(struct ipset_session *session, enum ipset_io_type what)

5. ipset 代码示例

#include <stdio.h>
#include <stdlib.h>
#include <libipset/ipset.h>

int main() {
    // 初始化 ipset 对象
    struct ipset *ipset = ipset_init();
    if (ipset == NULL) {
        fprintf(stderr, "Failed to initialize ipset\n");
        return 1;
    }

    // 创建一个 IP 集合会话
    struct ipset_session *session = ipset_session(ipset);
    if (session == NULL) {
        fprintf(stderr, "Failed to create ipset session\n");
        ipset_fini(ipset);
        return 1;
    }

    // 添加一些 IP 地址到集合中
    ipset_parse_line(ipset, "create myset hash:ip");
    ipset_parse_line(ipset, "add myset 192.168.1.1");
    ipset_parse_line(ipset, "add myset 192.168.1.2");

    // 保存集合到文件
    ipset_session_full_io(session, "ipset_file.txt", IPSET_SAVE);

    // 清空集合
    ipset_parse_line(ipset, "flush myset");

    // 从文件中加载集合
    ipset_session_full_io(session, "ipset_file.txt", IPSET_RESTORE);

    // 打印集合内容
    ipset_custom_printf(ipset, NULL, NULL, ipset_print_plain, stdout);

    // 释放资源
    ipset_session_io_close(session, IPSET_SAVE);
    ipset_session_io_close(session, IPSET_RESTORE);
    ipset_session(session);
    ipset_fini(ipset);

    return 0;
}

//上述代码编译需要链接动态库
gcc -o my_program my_program.c -lipset
搬运代码の外卖小哥
关注
  • 21
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux ipset 命令,什么是ipset,以及如何简单使用ipset
weixin_42298437的博客
04-29 4647
前一段时间一直在折磨着如何优化我写的防火墙,因为iptables的规则实在太多,无意中发现ipset,感觉像遇到了大救星,后来在网上google了两天发现这个方面的资料少的极其的可怜,我到现在都很想问一句,这到底是为什么,今天在这边贴点使用ipset的小结,希望能给大家提供点方便,同时也希望大家平时也发扬一点精神,好了,废话不多说了,呵呵!1.ipset 介绍(本人英语不是很好,所以有可能翻译的不...
ipsetiptables防火墙,需要的老板拿去!
05-10
ipset-master,
ipset命令介绍与基本使用
to_be_better_wen的博客
10-16 8833
iptables, ipset
ipset 简介
h934070878的专栏
01-05 1611
#我的博客主页 https://blog.csdn.net/h934070878 #ipset 原文地址 : http://ipset.netfilter.org/ ipset 资料: https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset #简介 ip set 是linux内核的一个内部框架, 可由ipset工具管理,ip set 可以分为以下几种类型:ip地址, 网路地址(网段),tcp/udp 端口号, m
ipset详解
热门推荐
gymaisyl的博客
09-30 2万+
ipset创建:create 创建一个新的ipset集合:ipset create SETNAME TYPENAME SETNAME是创建的ipset的名称,TYPENAME是ipset的类型: TYPENAME := method:datatype[,datatype[,datatype]] method指定ipset中的entry存放的方式,随后的datatype约定了每个entry...
iptables黑/白名单设置(使用ipset 工具)
weixin_30617561的博客
07-19 726
ipset介绍 ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilt...
ipset.tar.gz
03-24
ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止...
linux中ipset命令的使用方法详解
09-15
ipset是linux kernel的一个功能,可以将ip等组合成一个ipset,在iptables中可以直接指定ip...下面这篇文章主要给大家介绍了关于linux中ipset命令的使用方法,文中介绍的非常详细,需要的朋友们下面来一起学习学习吧。
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
ipset-6.32
09-30
ipset-6.32.tar,工具亲测,正式环境在用,使用有问题可关注我联系
易语言模块ipset.rar
03-29
易语言模块ipset.rar 易语言模块ipset.rar 易语言模块ipset.rar 易语言模块ipset.rar 易语言模块ipset.rar 易语言模块ipset.rar
ipset netsh
12-21
一键修改静态或动态iP地址,简单实现静态与动态的一键转换。
IPset用来修改保存IP地址
01-20
IPset用来修改保存IP地址,方便经常要改IP
activeTables:使用 ipset 自动更新 iptables
06-29
活动表 使用 ipset 自动更新 iptables
ipset-4.5.tar.bz2
06-30
ipset-4.5.tar.bz2
ipset基本用法和保存配置
ring__wang的博客
07-29 5034
ipset基本用法ipset基本用法需要保存配置,不然重启会失效 ipset基本用法 1.创建ipset集合 创建一个新的ipset集合:ipset create SETNAME TYPENAME ipset create bb hash:ip 2.向集合中添加条目 ipset add bb 2.2.2.2 ipset add bb 192.168.10.21-192.168.10.31 3.查询条目 ipset list ipset list aa 4.检查目标ip是否在ipset集合中 ipset te
Linux网络ipsetipvsadm工具介绍及基本使用
最新发布
学亮编程手记
11-17 322
当涉及到网络和流量管理时,ipsetipvsadm是两个常用的工具。
Linux | ipset命令介绍与基本使用
Albirostris
12-29 2676
ipset
ipset 怎么使用
05-26
可以在防火墙中使用 ipset 来允许或拒绝特定 IP 地址或地址范围的流量。 以下是一些常用的 ipset 命令: 1. 创建一个名为 mysetipset 列表: ``` sudo ipset create myset hash:ip ``` 2. 将 IP 地址 192...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值