ipset: linux的ipset命令的使用

Tags: manual 

目录

说明

ipset是linux kernel的一个功能,可以将ip等组合成一个ipset,在iptables中可以直接指定ipset。

创建ipset

ipset -n或者ipset create:

 n, create SETNAME TYPENAME [ CREATE-OPTIONS ]

SETNAME是创建的ipset的名称,TYPENAME是ipset的类型:

 TYPENAME := method:datatype[,datatype[,datatype]]

method指定ipset中的entry存放的方式,随后的datatype约定了每个entry的格式。

可以使用的method:

bitmap, hash, list

可以使用的datatype:

ip, net, mac, port, iface

添加记录

ipset add用于在ipset中添加记录:

add SETNAME ADD-ENTRY [ ADD-OPTIONS ]

向ipset中添加entry的时候,加入的entry的格式必须与创建ipset是指定的格式匹配。

$ipset creat foo hash:ip,port,ip
$ipset add foo ipaddr,portnum,ipaddr

$ipset list foo
Name: foo
Type: hash:ip,port,ip
Revision: 2
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 16584
References: 0
Members:
192.168.1.2,tcp:80,192.168.1.3

删除记录

ipset del用于从ipset中删除记录:

del SETNAME DEL-ENTRY [ DEL-OPTIONS ]

查询记录

ipset test可以检查目标entry是否在ipset中:

test SETNAME TEST-ENTRY [ TEST-OPTIONS ]

ipset list可以查看ipset的所有内容:

list [ SETNAME ] [ OPTIONS ]

导出导入

ipset save可以导出所有的ipset:

save [ SETNAME ]

ipset restore则用于将导出的内容导入。

其它

flush [ SETNAME ]
       Flush all entries from the specified set or flush all sets if none is given.

e, rename SETNAME-FROM SETNAME-TO
       Rename a set. Set identified by SETNAME-TO must not exist.

w, swap SETNAME-FROM SETNAME-TO
       Swap the content of two sets, or in another words, exchange the name of two sets. The referred sets must exist and identical type of sets can be swapped only.

help [ TYPENAME ]
       Print help and set type specific help if TYPENAME is specified.

version
       Print program version.

-      If  a dash is specified as command, then ipset enters a simple interactive mode and the commands are read from the standard input.  The interactive mode can be finished by entering the
       pseudo-command quit.

在iptables中使用ipset

在iptables中可以使用-m set启用ipset模块,例如。

-A POSTROUTING -m set --match-set felix-masq-ipam-pools src -m set ! --match-set felix-all-ipam-pools dst -j MASQUERADE

iptables的set模块:

set
This module matches IP sets which can be defined by ipset(8).

[!] --match-set setname flag[,flag]...
       where flags are the comma separated list of src and/or dst specifications and there can be no more than six of them. Hence the command

        iptables -A FORWARD -m set --match-set test src,dst
...

TARGET中也可以操作ipset:

SET
This module adds and/or deletes entries from IP sets which can be defined by ipset(8).

--add-set setname flag[,flag...]
       add the address(es)/port(s) of the packet to the set

--del-set setname flag[,flag...]
       delete the address(es)/port(s) of the packet from the set

       where flag(s) are src and/or dst specifications and there can be no more than six of them.
...

man iptables-extensions中可以找到set moduleSET TARGET的所有选项。

参考

  1. ipset
编程基础  系统基础  关注跟踪 
Kubernetes  Prometheus  超级账本 


manual

  1. curl: 用 Curl 命令访问 Unix Socket 接口的方法
  2. sips:图片格式转换、图片大小修改、图片属性设置等操作
  3. ipvsadm: Linux的负载均衡功能ipvs的使用,ipvsadm的常用操作命令
  4. gdb: 进程调试与查看工具,查阅内存等
  5. curl: 发起http(s)请求,查看http(s)通信过程
  6. confd: 本地配置文件的管理工具
  7. nc: netcat的使用
  8. supervisord: 进程管理工具supervisord
  9. runit: 进程管理工具runit
  10. bird: 软路由bird的使用
  11. ipset: linux的ipset命令的使用
  12. dns: linux中 dns 相关的工具
  13. crond: crond定时任务的使用
  14. systemd: Linux 系统服务管理(待完善)
  15. nsenter: 使用nsenter进入另一个进程的namespace
  16. udev: udev的使用说明
  17. device mapper: linux的device mapper原理与使用
  18. lvm: lvm的使用
  19. man: linux的man手册使用
  20. ntpd: ntpd同步系统时间
  21. arp: arp相关的命令
  22. tcpdump: tcpdump使用手册
  23. vim: 使用教程手册,命令、配置与插件
  24. ps: Linux的ps等进程查看命令
  25. git: 版本管理工具使用手册
  26. ovs: OpenVSwitch的使用
  27. rpm: rpm 与rpm 软件包的构建使用
  28. tc: 网络流量控制
  29. linux上的一些系统工具
  30. iptables: Linux iptables 使用
  31. make: 编译管理工具make与makefile
  32. wscat: 使用wscat连接websocket

推荐阅读

Copyright @2011-2019 All rights reserved. 转载请添加原文连接,合作请加微信lijiaocn或者发送邮件: [email protected],备注网站合作

友情链接:  系统软件  程序语言  运营经验  水库文集  网络课程  微信网文  发现知识星球