Sady IP jsou uložené kolekce adres IP, rozsahů sítí, adres MAC, čísel portů a názvů síťových rozhraní. Nástroj iptables může využít sady IP pro efektivnější párování pravidel. Řekněme například, že chcete upustit od provozu, který pochází z jednoho z několika rozsahů IP adres, o kterých víte, že jsou škodlivé. Namísto přímého konfigurování pravidel pro každý rozsah v iptables můžete vytvořit sadu IP a poté na ni odkazovat v pravidle iptables. Díky tomu jsou vaše sady pravidel dynamické, a proto se snáze konfigurují; kdykoli potřebujete přidat nebo vyměnit síťové identifikátory, které zpracuje brána firewall, jednoduše změníte sadu IP.
Příkaz ipset umožňuje vytvářet a upravovat sady IP adres. Nejprve musíte nastavit název, způsob ukládání a datový typ sady, například:
# ipset create range_set hash:net
V tomto případě je range_set název, hash je metoda ukládání a net je datový typ. Poté můžete přidat rozsahy do sady:
# ipset add range_set 178.137.87.0/24 # ipset add range_set 46.148.22.0/24
Potom pomocí iptables nakonfigurujete pravidlo pro snížení provozu, jehož zdroj odpovídá rozsahům v této sadě:
# iptables -I INPUT -m set --match-set range_set src -j DROP
Případně, chcete-li snížit provoz, jehož cíl odpovídá množině:
iptables -I OUTPUT -m set --match-set range_set dst -j DROP
SYNTAXE
Syntaxe příkazu ipset je:
# ipset [options] {command} Blokování seznamu sítí
1. Začněte vytvořením nové „sady“ síťových adres. Tím se vytvoří nová „hash“ sada „net“ síťových adres s názvem „myset“.
# ipset create myset hash:net
nebo
# ipset -N myset nethash
2. Přidejte do sady jakoukoli IP adresu, kterou chcete zablokovat.
# ipset add myset 14.144.0.0/12 # ipset add myset 27.8.0.0/13 # ipset add myset 58.16.0.0/15 # ipset add myset 1.1.1.0/24
3. Nakonec nakonfigurujte iptables tak, aby blokovaly jakoukoli adresu v této sadě. Tento příkaz přidá pravidlo na začátek řetězce „INPUT“ k „-m“ odpovídá množině pojmenované „myset“ z ipset (–match-set), pokud se jedná o paket „src“ a „DROP“ nebo blok, to.
# iptables -I INPUT -m set --match-set myset src -j DROP
Blokování seznamu IP adres
1. Začněte vytvořením nové „sady“ IP adres. Tím se vytvoří nová „hash“ sada „ip“ adres s názvem „myset-ip“.
# ipset create myset-ip hash:ip
nebo
# ipset -N myset-ip iphash
2. Přidejte do sady jakoukoli IP adresu, kterou chcete zablokovat.
# ipset add myset-ip 1.1.1.1 # ipset add myset-ip 2.2.2.2
3. Nakonec nakonfigurujte iptables tak, aby blokovaly jakoukoli adresu v této sadě.
# iptables -I INPUT -m set --match-set myset-ip src -j DROP
Zajištění trvalého ipset
Ipset, který jste vytvořili, je uložen v paměti a po restartu bude pryč. Aby byl ipset trvalý, musíte provést následující:
1. Nejprve uložte soubor ipset do /etc/ipset.conf :
# ipset save > /etc/ipset.conf
2. Poté povolte ipset.service, který funguje podobně jako iptables.service pro obnovu pravidel iptables.
Další příkazy
1. Zobrazení sad:
# ipset list
nebo
# ipset -L
2. Chcete-li odstranit sadu s názvem „myset“:
# ipset destroy myset
nebo
# ipset -X myset
3. Chcete-li odstranit všechny sady:
# ipset destroy