当前位置: 首页 > web >正文

Centos7 | 防火墙(firewalld)使用ipset管理ip地址的集合

web 2025/8/1 17:18:31

文章目录

  • 一、firewalld中ipset的用途
    • 1.1 用途
    • 1.2 注意与iptables所用的ipset命令的不同,
    • 1.3 配置详解
  • 二、firewalld中ipset的操作例子
    • 2.1 新建一个set
    • 2.2 在set中添加ip
    • 2.3 从set中删除ip
    • 2.4 删除一个set
    • 2.5 打印一个set的文件路径
    • 2.6 打印一个set的内容
    • 2.8 判断一个ip是否存在于set中?
    • 2.9 列出所有的ipsets
    • 2.10 得到所有的默认ipset类型
  • 三、firewalld中使用ipset
    • 3.1 把一个ipset加入到禁止的规则
    • 3.2 把ip地址中ipset中删除
  • 四、添加到ipset中的ip地址数据是否会重复
  • 五、使用脚本抓取有问题的ip加入到拒绝访问的ipset
  • 六、如何防止自己被误关在防火墙外?使用ip白名单
  • 七、查看firewalld的版本
  • 八、查看linux的版本

一、firewalld中ipset的用途

1.1 用途

ipset是ip地址的集合,firewalld使用ipset可以在一条规则中处理多个ip地址,执行效果更高对ip地址集合的管理也更方便

1.2 注意与iptables所用的ipset命令的不同,

不要混合使用firewall-cmd的ipset参数与linux平台上的ipset命令,避免引起冲突,firewalld的ipset会记录到/etc/firewalld/ipsets/目录下

1.3 配置详解

IPSet Options--get-ipset-types    打印支持的ipset类型--new-ipset=<ipset>  --类型= < ipset类型>[——选项= <关键>[= < >价值]]. .添加一个新的ipset--new-ipset-from-file=<filename> [--name=<ipset>]  从文件中添加一个新的ipset[可选名称]--delete-ipset=<ipset>  删除已存在的ipset [可选名称]--load-ipset-defaults=<ipset>  加载ipset默认设置[可选名称]--info-ipset=<ipset>打印关于ipset的信息[可选名称]--path-ipset=<ipset>打印ipset的文件路径[可选名称]--get-ipsets         打印预定义ipsets--ipset=<ipset> --set-description=<description>设置新的描述为ipset[可选名称]--ipset=<ipset> --get-description打印ipset的描述[可选名称]--ipset=<ipset> --set-short=<description>设置新的短描述为ipset[可选名称]--ipset=<ipset> --get-short打印ipset的简短描述[可选名称]--ipset=<ipset> --add-entry=<entry>向ipset中添加一个新条目[可选名称]--ipset=<ipset> --remove-entry=<entry>从ipset中删除一个条目[可选名称]--ipset=<ipset> --query-entry=<entry>返回ipset是否有条目--ipset=<ipset> --get-entries列出ipset的表项[可选名称]--ipset=<ipset> --add-entries-from-file=<entry>向ipset中添加新条目[可选名称]--ipset=<ipset> --remove-entries-from-file=<entry>从ipset中删除条目[可选名称]

二、firewalld中ipset的操作例子

2.1 新建一个set

–new-ipset=sshblock: 指定新ipset的名字为:sshblock

–type=hash:ip 指定类型为 hash:ip,这种形式不允许重复而且只有一个ip

[root@blog ipsets]# firewall-cmd --permanent --new-ipset=sshblock --type=hash:ip
success查看ipset文件是否已生成?
说明:默认的目录是:/etc/firewalld/ipsets
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
</ipset>

2.2 在set中添加ip

[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --add-entry=111.111.111.111
success查看添加ip的效果
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip"><entry>111.111.111.111</entry>
</ipset>

2.3 从set中删除ip

[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --remove-entry=111.111.111.111
success查看删除ip的效果
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
</ipset>

2.4 删除一个set

[root@blog ipsets]# firewall-cmd --permanent --delete-ipset=sshblock
success查看sshblock这个set的配置文件是否还存在?
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
more: stat of /etc/firewalld/ipsets/sshblock.xml failed: No such file or directory

2.5 打印一个set的文件路径

[root@blog ipsets]# firewall-cmd --permanent --path-ipset=sshblock
/etc/firewalld/ipsets/sshblock.xml

2.6 打印一个set的内容

[root@blog ipsets]# firewall-cmd --permanent --info-ipset=sshblock
sshblocktype: hash:ipoptions:entries: 111.111.111.111

2.8 判断一个ip是否存在于set中?

[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --query-entry=1.1.1.1
no
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --query-entry=111.111.111.111
yes

2.9 列出所有的ipsets

[root@blog ipsets]# firewall-cmd --permanent --get-ipsets
sshblock

2.10 得到所有的默认ipset类型

[root@blog ipsets]# firewall-cmd --get-ipset-types
hash:ip hash:ip,mark hash:ip,port hash:ip,port,ip hash:ip,port,net hash:mac
hash:net hash:net,iface hash:net,net hash:net,port hash:net,port,net

三、firewalld中使用ipset

3.1 把一个ipset加入到禁止的规则

[root@blog ipsets]# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source ipset="sshblock" drop'
success查看xml中的记录:
[root@blog ipsets]# more /etc/firewalld/zones/public.xml
...<rule family="ipv4"><source ipset="sshblock"/><drop/></rule>
...使生效
[root@blog ipsets]# firewall-cmd --reload
success把禁止的规则删除
[root@blog ipsets]# firewall-cmd --permanent --remove-rich-rule 'rule family="ipv4" source ipset="sshblock" drop'
success查看xml中的记录(刚才的drop信息被去除了):
[root@blog ipsets]# more /etc/firewalld/zones/public.xml
......使生效
[root@blog ipsets]# firewall-cmd --reload
success

3.2 把ip地址中ipset中删除

注意:没写入到磁盘

[root@blog ipsets]# firewall-cmd --ipset=sshblock --remove-entry=111.111.111.111
success
[root@blog ipsets]# firewall-cmd --ipset=sshblock --query-entry=111.111.111.111
no
[root@blog ipsets]# firewall-cmd --ipset=sshblock --get-entries可见已删除成功,如果想永久性的记录下来:写入到磁盘后 reload一次
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --remove-entry=111.111.111.111
success
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip">
</ipset>
[root@blog ipsets]# firewall-cmd --reload
success

四、添加到ipset中的ip地址数据是否会重复

因为使用了hash类型,当ip重复时firewall-cmd会报错:

新建ipset
[root@blog ipsets]# firewall-cmd --permanent --new-ipset=sshblock --type=hash:ip
success
添加ip
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --add-entry=111.111.111.111
success查看文件
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip"><entry>111.111.111.111</entry>
</ipset>再次添加ip
[root@blog ipsets]# firewall-cmd --permanent --ipset=sshblock --add-entry=111.111.111.111
Warning: ALREADY_ENABLED: 111.111.111.111
success查看文件:
[root@blog ipsets]# more /etc/firewalld/ipsets/sshblock.xml
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:ip"><entry>111.111.111.111</entry>
</ipset>

没有出现重复的情况

五、使用脚本抓取有问题的ip加入到拒绝访问的ipset

常用的几类ip:

  1. 被firewalld防火墙reject的ip

  2. nginx日志中访问过于频率的ip

  3. secure日志中登录失败的ip

我们以secure日志中登录失败的ip为例:

先用命令抓取到登录失败的ip:

[root@blog log]# grep -i 'Failed password' /var/log/secure | awk '{print $11}' | sort -n | uniq -c | sort -k1nr | awk '{if ($1>5) print $2}'
...写一段脚本,放到crond中定时执行即可:
[root@blog ~]# vi ./addlogifailip2firewall.sh内容:
#!/bin/bash
for LINE in `grep -i 'Failed password' /var/log/secure | awk '{print $11}' | sort -n | uniq -c | sort -k1nr | awk '{if ($1>3) print $2}'`; doecho "${LINE}";firewall-cmd --permanent --ipset=sshblock --add-entry="${LINE}";
done;
firewall-cmd --reload;

六、如何防止自己被误关在防火墙外?使用ip白名单

把允许访问的ip加入到trusted区域:

[root@blog zones]# firewall-cmd --permanent --zone=trusted --add-source=111.111.111.111使生效:
[root@blog zones]# firewall-cmd --reload注意此处不要使用ipset,
使用ipset后,如果同一个ip也被加入了被拒绝的set,
则此ip还是会关到外面。
原因在于firewalld把规则转到nftables的处理机制,
它把set的处理合并到默认的public zone中去处理了.
大家可以用nft的命令验证 :
[root@blog log]# nft list ruleset

七、查看firewalld的版本

[root@blog ~]# firewall-cmd --version
0.6.3

八、查看linux的版本

[root@blog ~]# cat /etc/redhat-release
CentOS Linux release 8.0.1905 (Core)
http://www.xdnf.cn/news/16785.html

相关文章:

  • 以ros的docker镜像为例,探讨docker镜像的使用
  • Power Pivot 数据分析表达式(DAX)
  • 《Java 程序设计》第 10 章 - 接口与 Lambda 表达式
  • HTML基础P2 | JS基础讲解
  • JSON.parse解析大整数踩坑
  • 重生之我在10天内卷赢C++ - DAY 1
  • 安全和AI方向的学习路线
  • Tdesign-React 模板面包屑如何放到 Header头部
  • 白话容器基础(一):进程
  • 2025年6月电子学会青少年软件编程(C语言)等级考试试卷(一级)
  • SSRF漏洞基础
  • Akamai CloudTest before 60 2025.06.02 XXE注入导致文件包含漏洞(CVE-2025-49493)
  • Solon v3.4.2(Java 应用开发生态基座)
  • T113-i Linux系统完整构建指南:从SDK开箱到内核镜像量产烧录全流程
  • 【力扣热题100】哈希——最长连续序列
  • MSVC编译KDChart过程
  • 实现了加载 正向 碰撞 雅可比 仿真
  • [SKE]UVM环境下OpenSSL加密算法参考模型设计
  • BOSMA博冠8K广播级讯道摄像机DC0300 EFP产品画册(下)
  • 利用SQL文件上传注入植入WebShell
  • 【从零实践Onvif】01、Onvif详细介绍(从Onvif客户端开发的角度认识Onvif、Web Servies、WSDL、SOAP)
  • SpringCloud -- MQ高级
  • 数学建模——01规划/整数规划
  • Vue3 Composition API
  • Oracle迁移PostgreSQL隐式类型转换配置指南
  • RHCA - CL260 | Day03:配置 RHCS 集群
  • PyTorch 生态四件套:从图片、视频到文本、语音的“开箱即用”实践笔记
  • Git LFS 安装和使用
  • 动态规划Day5学习心得
  • 原生C++实现信号与槽机制:原理详解