https://zhuanlan.zhihu.com/p/489103374
ipset创建:create
创建一个新的ipset集合:ipset create SETNAME TYPENAME
2.method指定ipset中的entry存放的方式,随后的datatype约定了每个entry的格式。
可以使用的method:(后面会详细解释)
bitmap, hash, list
可以使用的datatype:(后面会详细解释)
ip, net, mac, port, iface
例如:
将ip/port/ip-ip等添加到ipset集合中:ipset add SETNAME ENTRY
向集合中添加条目时需要注意,创建的集合属于哪种类型,在添加时的数据就要符合对应的类型,如下所示
1. 查询对应集合中的具体ip条目内容: ipset list [SETNAME]
2. 检查目标ip是否在ipset集合中:ipset test SETNAME ENTRY
1. 删除集合中的某ip条目:ipset del SETNAME ENTRY
2. 删除ipset某集合的所有ip条目:flush 【SETNAME】
3. 清空ipset中所有集合的ip条目(删条目,不删集合):ipset flush
4. 删除ipset中的某个集合或者所有集合:ipset destroy [SETNAME]
1. timeout 超时时间/生效时间 (所有集合适用)
timeout设置超时时间,如果设置为0,表示永久生效,超时时间可以通过 -exist来进行修改
2. counters, packets, bytes (所有集合适用)
如果指定了该选项,则使用每个元素支持的包和字节计数器创建集合。当元素(重新)添加到集合中时,除非包和字节选项显式指定包和字节计数器值,否则包和字节计数器将初始化为零。
3. comment 备注(所有集合适用)
在ipset上启用此扩展可以使用任意字符串注释ipset条目。内核和ipset本身完全忽略这个字符串,纯粹是为了提供一种方便的方法来记录条目存在的原因。注释不能包含任何引号,通常的转义字符()没有任何意义。
4. skbinfo, skbmark, skbprio, skbqueue (所有集合适用)
这个扩展允许您存储每个条目的metainfo(防火墙标记、tc类和硬件队列),并使用SET netfilter target和——map- SET选项将其映射到包。skbmark选项格式:MARK或MARK/MASK,其中MARK和MASK为32位十六进制数字,前缀为0x。如果只指定标记,则使用掩码0xffffffff。skbprio选项有tc类格式:MAJOR:MINOR,其中MAJOR和MINOR号是十六进制,没有0x前缀。skbqueue选项只是一个小数。
ps:这里不是很懂,就没有做案例了,有了解的大神,希望可以指导一下。
5. hashsize 集合的初始哈希大小(hsah集合适用)
它定义了集合的初始哈希大小,默认值为1024。哈希大小必须是2的幂,内核会自动舍入两个哈希大小的非幂到第一个正确的值。
6. maxelem 集合存储最大数量(hsah集合适用)
它定义了可以存储在集合中的元素的最大数量,默认值为65536
7. family { inet | inet6 } IPv4/IPv6 (适用hash集合(hash:mac除外))
这个参数对于除hash:mac之外的所有hash类型集的create命令都是有效的。它定义了要存储在集合中的IP地址的协议族
8. nomatch (hash:net适用 ):
可以存储网络数据类型的哈希集类型(即hash:net)在添加条目时支持可选的nomatch选项。当匹配集合中的元素时,将跳过标记为nomatch的条目,就好像这些条目没有添加到集合中一样,这使得在异常情况下构建集合成为可能。参见下面的hash类型hash:net中的示例。当ipset测试元素时,会考虑nomatch标志。如果想要测试集合中使用nomatch标记的元素是否存在,那么也必须指定该标志。
也就是说,这个通常与hash:net搭配使用,用来跳过 hash:net指定的ip netmask address.
9. forceadd 集合满时,随机删除(所有集合适用)
当使用此选项创建的集合已满时,集合的下一个添加项可能成功并从集合中删除随机项。
method存储方式:
存储方式有 bitmap, hash, list;
bitmap和list: 使用固定大小的存储.
hash: 使用hash表来存储元素。但为了避免Hash表键冲突,在ipset会在hash表key用完后,若又有新增条目,则ipset将自动对hash表扩大,假如当前哈希表大小为100条,则它将扩展为200条。当在iptables/ip6tables中使用了ipset hash类型的集合,则该集合将不能再新增条目。
hash的自增
前面说过:bitmap link 的储存方式的集合大小是固定,hash类型的储存大小是可变的
下面回顾一下hash的两个参数
2. maxelem:指定了集合最大存储记录的数量
默认hashsize大小是1024,如果满了 hash 会自动扩容为之前的两倍,最大能存储的数量是 65536 个.
这时我们可以进行默认值大小的设置和最大值的设置:
如果集合中最大存储数量不能满足配置的ip数量,则会出现下面的问题:
这也再次证明,其实在hash:ip和hash:ip,port中,即使配置的时候是以ip段的方式配置的,但是存储的时候还是按照单个ip进行保存的。
这里需要注意的是,一旦使用 hash:ip和hash:ip,port 方式 进行ipset配置,而ip又非常多的话,可能会出现下面的情况.(最后是使用hash:net替换hash:ip解决的)
datatype数据类型:
支持的类型有:ip, net, mac, port, iface,即除了ip外,还可以是网络段,端口号(支持指定 TCP/UDP 协议),mac 地址,网络接口名称,或者多种。在创建的时候,指定是什么类型,在添加的时候,数据就要按照对应的格式来,不然就会报错
Supported set types 支持的集合类型:
1. hash:ip
使用哈希存储ip主机地址(默认)或网络地址。零值IP地址不能存储在散列中。
CREATE-OPTIONS(创建可用选项) := [ family { inet | inet6 } ] | [ hashsize value ] [ maxelem value ] [ netmask cidr ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD-ENTRY(添加参数 := ipaddr
ADD-OPTIONS(添加可用选项):= [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL-ENTRY(删除参数) := ipaddr
TEST-ENTRY(测试参数) := ipaddr
关于netmask :当指定可选的netmask参数时,网络地址将存储在集合中,而不是IP主机地址。cidr前缀值必须在IPv4的1-32和IPv6的1-128之间。如果网络地址是用netmas屏蔽的,则IP地址将在集合中
2. hash:net
使用集合存储不同大小的IP网络地址。前缀大小为零的网络地址不能存储在这种类型的集合中。
CREATE-OPTIONS := [ family { inet | inet6 } ] | [ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD-ENTRY := netaddr
ADD-OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL-ENTRY := netaddr
TEST-ENTRY := netaddr
where netaddr := ip[/cidr]
在添加/删除/测试条目时,如果没有指定cidr前缀参数,则假定主机前缀值。当添加/删除条目时,内核将添加/删除确切的元素,并且不检查重叠元素。当测试条目时,如果测试了主机地址,那么内核将尝试匹配添加到集的网络中的主机地址,并相应地报告结果。netfilter匹配从集合的角度寻找匹配总是从最小的尺寸用于网段(最具体的前缀)最大的一个(至少特定前缀)添加到集合。当添加/删除IP地址设置netfilter设定的目标,它将被添加/删除最特定的前缀,可以发现在一组,或由主机前缀值如果设置为空。查找时间随着添加到集合中的不同前缀值的数量线性增长。
3. hash:ip,port
使用hash存储IP地址和端口号对。端口号与协议(默认TCP)一起,不能使用零协议号
CREATE-OPTIONS := [ family { inet | inet6 } ] | [ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD-ENTRY := ipaddr,[proto:]port
ADD-OPTIONS := [ timeout value ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL-ENTRY := ipaddr,[proto:]port
TEST-ENTRY := ipaddr,[proto:]port
注意:
如果创建集合是指定的存储内容包含 ip, 例如 hash:ip 或 hash:ip,port ,在添加记录时,可以填 IP 段,但是仍然是以单独一个个 IP 的方式来存储的
4. hash:ip,port,net
使用hash存储IP地址、端口号和IP网络地址三元组。端口号与协议(默认TCP)一起,不能使用零协议号。前缀大小为零的网络地址也不能存储。
CREATE-OPTIONS := [ family { inet | inet6 } ] | [ hashsize value ] [ maxelem value ] [ timeout value ] [ counters ] [ comment ] [ skbinfo ]
ADD-ENTRY := ipaddr,[proto:]port,netaddr
ADD-OPTIONS := [ timeout value ] [ nomatch ] [ packets value ] [ bytes value ] [ comment string ] [ skbmark value ] [ skbprio value ] [ skbqueue value ]
DEL-ENTRY := ipaddr,[proto:]port,netaddr
TEST-ENTRY := ipaddr,[proto:]port,netaddr
where netaddr := ip[/cidr]
上面仅做4个常用的进行介绍,还有很多其他的类型可供使用
还有下面几个未做介绍(有空再更)
bitmap:ip
bitmap:ip,mac
bitmap:port
hash:mac
hash:ip,mac
hash:net,net
hash:net,port
hash:ip,port,ip
hash:ip,mark
hash:net,port,net
hash:net,iface
list:set
ipset和iptables:
在iptables中使用ipset,只要加上-m set --match-set即可。(这里只做简单的介绍)
iptables -I INPUT -s 192.168.100.36 -m set --match-set bbb dst -j DROP
源ip使用ipset(ipset集合为aaa)
iptables -I INPUT -m set --match-set aaa src -d 192.168.100.36 -j DROP
源和目的都使用ipset(源ip集合为aaa,目的ip集合为bbb)
iptables -I INPUT -m set --match-set aaa src -m set --match-set bbb dst -j DROP