centos5编译安装ipset4.5

最新推荐文章于 2024-04-19 17:54:47 发布
最新推荐文章于 2024-04-19 17:54:47 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dujiajiyu/article/details/105644862
版权

用过ipset的朋友应该知道,在ip数量非常多的情况下,使用ipset来做防火墙的白名单或者黑名单是非常方便的,在centos6系列及以上的系统中安装ipset都很简单,直接使用yum命令安装即可,但是在centos5系统中ipset就无法使用yum安装了,只能手动编译,而且由于官方源代码包的安装说明太过于简单了,之前好几次安装都以失败告终了,直到最近服务器老是受到攻击,才彻底研究了一下,现将整个安装的过程记录下来,希望也能给有需要的朋友一个参考。

  1. 安装内核源代码
  2. 编译安装ipset
  3. 升级iptables
  4. 配置ipset管理脚本,并设置开机自启动
  5. 使用ipset和iptables实现ip白名单
  6. ipset4.5常用命令

1、安装内核源代码

在ipset4.5安装包的README文件中要求内核版本为(version >= 2.6.16 or 2.4.36.x)原则上centos5系列的操作系统应该都满足要求,如不满足则使用yum升级内核即可

#编译ipset4.5需要依赖内核源代码,使用yum安装kernel-devel即可
yum install kernel-devel

#查看安装是否成功
rpm -qa | grep kernel
kernel-headers-2.6.18-419.el5
kernel-2.6.18-398.el5
kernel-devel-2.6.18-419.el5

#安装好的内核源代码路径
ls -1 /usr/src/kernels/2.6.18-419.el5-x86_64/
arch
block
crypto
drivers
fs
include
init
ipc
kabi_whitelist
kernel
lib
Makefile
mm
Module.kabi
Module.markers
Module.symvers
net
samples
scripts
security
sound
symsets-2.6.18-419.el5.tar.gz
usr

2、编译安装ipset

#下载ipset4.5
https://github.com/Olipro/ipset/tree/v4.5

unzip ipset-4.5.zip
cd ipset-4.5

#开始编译 KERNEL_DIR 为内核源代码的路径
make KERNEL_DIR=/usr/src/kernels/2.6.18-419.el5-x86_64
make KERNEL_DIR=/usr/src/kernels/2.6.18-419.el5-x86_64 install
make KERNEL_DIR=/usr/src/kernels/2.6.18-419.el5-x86_64 clean
make KERNEL_DIR=/usr/src/kernels/2.6.18-419.el5-x86_64 binaries
make KERNEL_DIR=/usr/src/kernels/2.6.18-419.el5-x86_64 binaries_install
make KERNEL_DIR=/usr/src/kernels/2.6.18-419.el5-x86_64 patch_kernel

#编译好的ipset模块,存放于extra目录中
cd /lib/modules/2.6.18-419.el5/extra
ls -1
ip_set_iphash.ko
ip_set_ipmap.ko
ip_set_ipporthash.ko
ip_set_ipportiphash.ko
ip_set_ipportnethash.ko
ip_set_iptree.ko
ip_set_iptreemap.ko
ip_set.ko
ip_set_macipmap.ko
ip_set_nethash.ko
ip_set_portmap.ko
ip_set_setlist.ko
ipt_set.ko
ipt_SET.ko

#将extra目录下的所有模块使用insmod命令导入(注意:insmod导入的模块,服务器重启后会失效)想要开机自动导入ipset模块,请看后文中第四步的管理脚本,使用管理脚本加入rc.local文件的方式来开机自动导入模块(这一步官方README的安装过程就没有提及)
insmod ip_set.ko
insmod ip_set_iphash.ko
insmod ip_set_ipmap.ko
insmod ip_set_ipporthash.ko
insmod ip_set_ipportiphash.ko
insmod ip_set_ipportnethash.ko
insmod ip_set_iptree.ko
insmod ip_set_iptreemap.ko
insmod ip_set_macipmap.ko
insmod ip_set_nethash.ko
insmod ip_set_portmap.ko
insmod ip_set_setlist.ko
insmod ipt_set.ko
insmod ipt_SET.ko

3、升级iptables

#默认的iptables是1.3.5版本的,不支持ipset模块,需要升级到1.4版本
rpm -qa | grep iptables
iptables-1.3.5-9.2.el5_8
iptables-ipv6-1.3.5-9.2.el5_8

#下载iptables
wget https://netfilter.org/projects/iptables/files/iptables-1.4.21.tar.bz2

#编译升级iptables
tar -xjf iptables-1.4.21.tar.bz2
cd iptables-1.4.21
./configure && make && make install
cd /usr/local/sbin/
cp iptables /sbin/
cp iptables-restore /sbin/
cp iptables-save /sbin/

#验证是否升级成功
iptables -V
iptables v1.4.21

4、创建ipset管理脚本并设置开机自启动

4.1 创建管理脚本

ipset4.5源码包目录下并没有提供管理脚本,为了后期使用方便,所以特意写了这个管理脚本

touch /etc/init.d/ipset
chmod 755 /etc/init.d/ipset

4.2 开机自启动(也就是开机自动导入ipset模块)

echo '/etc/init.d/ipset start' >> /etc/rc.local
echo '/etc/init.d/iptables start' >> /etc/rc.local

这里添加了ipset的开机启动,但是为什么还需要添加iptables的启动脚本呢,这是因为如果在防火墙规则中引用了ipset集合,那么ipset就必须要比iptables先启动,所以这里ipset启动后,必须再次启动iptables,这样防火墙才能正常工作

4.3 脚本内容

脚本有一处需要根据你的服务器真实情况进行修改,即ipset编译后的模块路径需要修改为你的真实路径,下面代码中也注释了
脚本使用方法:service ipset start|stop|restart|save|status
或者是:/etc/init.d/ipset start|stop|restart|save|status

#!/bin/bash
# chkconfig: 2345 07 93
# description: start stops and save ipset
# processname: ipset
# config: /etc/sysconfig/ipset

RETVAL=0

IPSET=ipset
IPSET_BIN=/usr/local/sbin/$IPSET
IPSET_DATA=/etc/sysconfig/$IPSET

[ $EUID != 0 ] && { echo 'not the root user'; exit 1; }

print_log() {
        echo -n "$1"
        echo -ne "\t\t\t\t["
        if [[ $2 == "OK" ]]; then
                echo -ne "\033[32m $2 \033[0m"
        elif [[ $2 == "FAILED" ]]; then
                echo -ne "\033[31m $2 \033[0m"
        else
                echo -ne "\033[33m $2 \033[0m"
        fi
        echo -n "]"
        echo -ne "\n"
}

if_print_log() {
        [[ $RETVAL -eq 0 ]] && print_log "$1" "OK" || print_log "$1" "FAILED"
}

start() {
        lsmod | grep ip_set > /dev/null 2>&1
        if [[ $? -ne 0 ]]; then
        		#此路径需要修改为ipset模块的真实路径
                cd /lib/modules/2.6.18-419.el5/extra/
                insmod ip_set.ko
                insmod ip_set_nethash.ko
                insmod ip_set_iphash.ko
                insmod ip_set_ipmap.ko
                insmod ip_set_ipporthash.ko
                insmod ip_set_ipportiphash.ko
                insmod ip_set_ipportnethash.ko
                insmod ip_set_iptree.ko
                insmod ip_set_iptreemap.ko
                insmod ip_set_macipmap.ko
                insmod ip_set_portmap.ko
                insmod ip_set_setlist.ko
                insmod ipt_set.ko
                insmod ipt_SET.ko
        fi

        [[ ! -f "$IPSET_DATA" ]] && { print_log "${IPSET_DATA} does not exist" "FAILED"; exit 1; }

        if [[ -n "$($IPSET_BIN -L)" ]]; then
                print_log "ipset is running..." "WARNING"
        else
                $IPSET_BIN -R < $IPSET_DATA
                RETVAL=$?
                if_print_log "start ipset"
        fi
}

stop() {
  if [[ -n "$($IPSET_BIN -L)" ]]; then
        $IPSET_BIN -X
        RETVAL=$?
        if_print_log "stop ipset"
  else
        print_log "ipset has stopped" "WARNING"
  fi
}

restart() {
  stop
  start
}

save() {
        [[ ! -f "$IPSET_DATA" ]] && { print_log "${IPSET_DATA} does not exist" "FAILED"; exit 1; }
        if [[ -n "$($IPSET_BIN -L)" ]]; then
                $IPSET_BIN -S > ${IPSET_DATA}
                RETVAL=$?
        if_print_log "ipset save config to ${IPSET_DATA}"
        else
                print_log "ipset is stopped" "WARNING"
        fi
}

status() {
  if [[ -n "$($IPSET_BIN -L)" ]]; then
        $IPSET_BIN -L
  else
        print_log "ipset is stopped" "WARNING"
  fi
}

case "$1" in
        start)
                start;;
        stop)
                stop;;
        restart)
                restart;;
        save)
                save;;
        status)
                status;;
        *)
                echo $"Usage: $0 {start|stop|restart|save|status}"
esac

exit $RETVAL

5、使用ipset和iptables实现IP白名单

安装好ipset后,我们在iptables中引用ipset实现ip白名单
白名单:即只允许指定的ip访问服务器的指定端口

#创建ipset配置文件,将ip以网段的方式写入ipset的china_ip集合中
vi /etc/sysconfig/ipset
-N china_ip nethash --hashsize 1024 --probes 4 --resize 50
-A china_ip 10.0.0.0/8
-A china_ip 127.0.0.1/31
-A china_ip 192.168.0.0/16
-A china_ip 114.114.114.114/31
-A china_ip 223.5.5.5/31
-A china_ip 8.8.8.8/31
COMMIT

#在防火墙中引用ipset,如下防火墙规则,只有在ipset的china_ip集合中的ip才能访问服务器开放的22端口
vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m set ! --match-set china_ip src -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m set ! --match-set china_ip src -j DROP
-A FORWARD -m set ! --match-set china_ip dst -j DROP
-A OUTPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -m set ! --match-set china_ip dst -j DROP
COMMIT

#启动ipset和iptables
service ipset start
service iptables start

6、ipset4.5常用命令

centos5系列最高只能安装ipset4.5版本,centos6系列可以安装更高的版本,centos5和centos6在ipset命令的使用方式上有很大区别,下面列出了centos5下常用的管理ipset的命令

ipset -N china_ip nethash #创建一个名为china_ip类型为nethash的集合

ipset -R < /etc/sysconfig/ipset #导入ipset配置文件

ipset -X china_ip #清除china_ip集合
ipset -X #清除所有集合

ipset -S > /etc/sysconfig/ipset #将集合存储到配置文件中
stache
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CentOS7上安装和使用redis4
jiaodacailei的专栏
01-11 2644
目录 一、安装 1.准备 2.下载redis 3.解压 4.make 5.安装 6.启动redis服务器 7.以服务方式启动redis服务器 8.客户端连接 9.测试 二、基本命令 1.操作String类型 1.1.set/get命令 1.2.setnx命令 1.3.setex命令 1.4.del命令删除 1.5.mset/mget命令 1.6.getset命令...
记一次Centos7下编译安装配置Zabbix4.2
RINUX
12-29 440
1.安装依赖包 sudo yum -y install libevent-devel net-snmp-devel 2.添加 zabbix用户 useradd zabbix 3.解压Zabbix cd /usr/local/src/ sudo tar zxf zabbix-4.2.6.tar.gz 4.预编译zabbix 4.2.6 cd zabbix-4.2.6 sudo ./confi...
iptables黑/白名单设置(使用ipset 工具)
weixin_30617561的博客
07-19 764
ipset介绍 ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilt...
linux ipset 命令,linux中ipset命令的使用方法详解
weixin_31931045的博客
04-29 1777
ipset介绍iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptables是linux从2.4版本引入的防火墙解决方案.ipsetiptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的ipta...
ipset-4.5.tar.bz2
06-30
ipset-4.5.tar.bz2
于Linux-2.6.32内核上编译ipset-6.23的坎坷经历
Netfilter
11-14 9587
新版本的ipset上周在儿童医院给小小看病等待叫号的间隙,收到了Netfilter邮件列表的推送消息,一览了ipset最新的6.23版本的新特性,很多正是我目前所需要的,特别是timeout和skbinfo参数的支持,具体的详情请自行查看manual,如果不想看那么多,我这里简单的贴一下:   timeout       All  set  types  supports the optional
centos6.5 iptables结合ipset批量屏蔽ip
weixin_34194379的博客
04-12 152
安装ipset yum install ipset #创建ip地址集合 ipset create bansms hash:net 查找访问了“getVerificationCode”并且次数大于10次的ip cat /usr/local/nginx/logs/access.log | grep getVerificationCode | awk '{print $1}' | ...
linux 编译iptables1.62 并移植arm
weixin_42191545的博客
01-25 1585
linux 编译iptables1.62 并移植arm 下载源码 iptables-1.6.2.tar.bz2 :https://www.netfilter.org/pub/iptables/ 1.解压文件: tar jxvf iptables-1.6.2.tar.bz2 2.在总的编译文件/mtk7561/apps/private/make_apps框架下末尾加入 ifeq ($(strip $(TCSUPPORT_TOZED_OUT)), y) iptables162: echo -e "\03
linux中ipset命令的使用方法详解
09-15
ipset是linux kernel的一个功能,可以将ip等组合成一个ipset,在iptables中可以直接指定ipset。下面这篇文章主要给大家介绍了关于linux中ipset命令的使用方法,文中介绍的非常详细,需要的朋友们下面来一起学习学习吧。
CentOS7安装Redis6.2.6
最新发布
superhanyubo的专栏
04-19 1985
基于机器的限制,这里做3个虚拟机,6个redis节点的集群。停止掉192.168.65.138,即master节点,如果slave自动转换为master节点,则哨兵模式配置成功。主从模式能够保证数据的可靠性,但是主节点宕机从节点不会自动切换为主角色,需要人为介入。对于通用配置,采取统一引入的方式,个性化的配置,通过配置文件专门调整。对于通用配置,采取统一引入的方式,个性化的配置,通过配置文件专门调整。在任意一个节点执行,只执行一次。注意:从节点里面指定了主节点的ip地址和端口号。
IPset用来修改保存IP地址
01-20
IPset用来修改保存IP地址,方便经常要改IP
ipset教程,教你怎样弄一个ipset
11-03
ipset代码,教你怎样弄一个ipset
【Heartbeat】CentOS7快速源码安装Heartbeat实验
qq_15615149的博客
10-20 500
服务器高可用
Centos 7下 Zabbix 5.2 源码包完整安装教程
weixin_41335923的博客
05-09 1484
Centos 7下 Zabbix 5.2 源码包完整安装教程
ubuntu安装ipset准确姿势
thinker
01-15 3260
ipset package in Ubuntu ipset: administration tool for kernel IP sets ipset-dbgsym: debug symbols for ipset libipset-dev: development files for IP sets libipset13: library for IP sets libipset13-dbgs...
至Linux-2.6.32编译内核ipset-6.23坎坷的经历
weixin_33922670的博客
09-28 255
新的版本号ipset上周,一名医生在儿童医院等待一段差距叫做数量。接受NetfilterPush信息的邮件列表,列表ipset最新6.23版本号的新功能,非常喜欢我现在需要的是,特别是timeout和skbinfo支持参数,欲了解更多详情,请参阅自己manual,假设不想看那么多,我这里简单的贴一下:   timeout       All  set  types  supports the ...
Centos升级ipset以及ipset的移植
weixin_39713646的博客
04-07 1143
##卸载centos本身的ipset 通过yum remove ipset命令实现
iptables,ipset移植到arm
weixin_42492470的博客
11-24 1097
/*****官网下载源码****************** https://netfilter.org/ ************************************/ ipset移植(作为iptables的插件,编译最难受。。网上关于ipset移植和libmnl移植到arm的资料寥寥无几) ./autogen.sh (error) sudo apt-get install automake autoconf libtool ./autogen.sh ./configure CC=aar.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值