前一段时间一直在折磨着如何优化我写的防火墙,因为iptables的规则实在太多,无意中发现ipset,感觉像遇到了大救星,后来在网上google了两天发现这个方面的资料少的极其的可怜,我到现在都很想问一句,这到底是为什么,今天在这边贴点使用ipset的小结,希望能给大家提供点方便,同时也希望大家平时也发扬一点精神,好了,废话不多说了,呵呵!
1.ipset 介绍(本人英语不是很好,所以有可能翻译的不是很准确):
在iptables中,如果我们去匹配多个IP地址的话就会写入多条iptables的规则(这些IP都是无规律性的),当如果需要匹配几百甚至上千个IP地址的话,那么性能就会受到严重的影响,ipset在这个方面做了很大的改善,其最主要是的在结构和规则的查找上面做了很大的改善,当出现上面的情况的时候,ipset对性能就始终稳定在一个相对值上。根据提供的测试结果表明,当规则在300-1500之间的时候其对性能的影响基本是水平线。所以当你的防火墙规则过多的时候不妨试试看。
2. 安装
这个就没什么可以说的了,到http://ipset.netfilter.org/上面把程序下载下来,里面还有一个用户手册可以看看,别的就什么都没有了。
3. 下面介绍如何使用:
(1). 首先ipset里面好多的命令是和iptables一样的,比如-F ,-X, -A, -nL等等,这样大家直接就可以试一试了。
(2). 用户如果什么都没有添加的话,这个时候ipset -nL 就会发现都是空的,什么都没有
(3) 这个时候我们试着添加一条自定义链,注意ipset没有默认的链的,要使用的话就必须自己先创建一个自定义链,如:
ipset -N test_policy ipmap --network 192.168.100.1/255.255.255.0
test_policy代表的是自定义链;ipmap 代表的是自定义链的类型; --network 192.168.100.1/255.255.255.0代表的是option,代表一个网段,还有别的一些
option,在这边就不一一介绍了,手册里面都有。自定义链的创建都必须要满足上面的格式。
(4) 自定义链创建好了后就需要在上面添加一些IP了,如:
ipset -A test_policy 192.168.100.1
ipset -A test_policy 192.168.100.2
ipset -A test_policy 192.168.100.3
ipset -A test_policy 192.168.100.4
这个时候你ipset -nL就会看到:
localhost:/usr/bin# ipset -nL
Name: servers_1
Type: ipmap
References: 1
Default binding:
Header: from: 192.168.100.0 to: 192.168.100.255
Members:
192.168.100.1
192.168.100.2
192.168.100.3 192.168.100.4
Bindings:
(5) 好,到这个时候我们ipset的自定义链就搞好了,这个时候要把他加到我们的iptables链里面,比如说加到FORWARD链里面:
iptables -A FORWARD -m set --set test_policy src -j DROP
当然也可以象我这样做:
iptabs -N NEW_POLLICY
iptables -A FORWARD -m set --set test_policy src -j NEW_POLLICY
这里面需要说明的是src,也就是只是匹配的源地址,如果你需要匹配目的地址的话那么就写成dst
(6)我感觉到重点:
1. 大家使用macipmap类型的时候,如果只需要匹配MAC的时候一定要使用参数:--matchunset ,如:
ipset -N servers_mac_macipmap --network $LAN_IP/$LAN_NETMASK --matchunset
其实就是这句:
ipset -N servers_mac_macipmap --network ip/mask --matchunset
我发现手册在这个方面写的不是很清楚,所以在这边特意的提醒一下。
另外还有好多其他的settype我在这边就不一一的介绍了
2. 在编译的时候注意大小字节序,我遇到这个问题的,呵呵,搞了半天,如果你设定的IP,看到的不是你想要的,估计就是这个问题了,嘿嘿!
比如你ipset -A test_policy 192.168.100.1, 当ipset -nL 去看设定结果的时候看到的却是:192.168.100.51。
至于怎么改,目前我程序不在手边,有机会我补上。
3. ipset功能在做ip/mac绑定功能和防ARP攻击,是一个好的选择,建议可以试一试的。
作者:heizi_liu
原文链接:http://linux.chinaunix.net/bbs/viewthread.php?tid=994421