ipset
ipset — это сопутствующее приложение для межсетевого экрана Linux iptables. Он позволяет задавать правила для быстрой и простой блокировки набора IP-адресов.
Установка
Настройка
Блокировка списка сетей
1. создайте новый «набор» сетевых адресов. Эта команда создаст новый «хэш» набор сетевых адресов с названием «myset».
ipset create myset hash:net
или
ipset -N myset nethash
2. Добавляем списки сетей
# ipset add myset 14.144.0.0/12 # ipset add myset 27.8.0.0/13 # ipset add myset 58.16.0.0/15 # ipset add myset 1.1.1.0/24
3. Добавляем настройки в iptables iptables -I INPUT -m set –match-set myset src -j DROP
Блокировка списка IP-адресов
ipset create myset-ip hash:ip ipset -N myset-ip iphash
# ipset add myset-ip 1.1.1.1 # ipset add myset-ip 2.2.2.2
# iptables -I INPUT -m set –match-set myset-ip src -j DROP
Делаем ipset постоянным
Cозданный вами ipset хранится в памяти и исчезнет после перезагрузки. Чтобы сделать ipset постоянным, вам необходимо сделать следующее:
Во-первых, сохраните ipset в /etc/ipset.conf
ipset save > /etc/ipset.conf
Затем включите ipset.service, который работает аналогично iptables.service для восстановления правил iptables.
Блокировка с помощью PeerGuardian и других черных списков Инструмент pg2ipset-gitAUR от автора Maeyanie.com в сочетании со скриптом ipset-update.sh https://github.com/ilikenwf/pg2ipset/blob/master/ipset-update.sh
может использоваться с cron для автоматического обновления различных чёрных списков. На данный момент по умолчанию реализована блокировка: страны, узла выхода Tor и списка Bluetack pg2.
Для просмотра наборов:
# ipset list или
# ipset -L Для удаления набора:
# ipset destroy myset или
# ipset -X myset Для удаления всех наборов:
# ipset destroy Дополнительную информацию см. в ipset(8).
Оптимизация Инструмент iprangeAUR может помочь уменьшить количество записей в ipset.conf путём объединения соседних диапазонов или удаления пересекающихся диапазонов. Это может повысить производительность маршрутизатора/брандмауэра, если размер таблицы огромен. Этот инструмент также может преобразовать список имён хостов в IP-адреса.
Хоть ipset и спроектирован так, чтобы его можно было хорошо масштабировать, это не означает, что можно делать до бесконечности. В частности, в некоторых странах очень большое пространство IP-адресов, что делает геоблокировку неэффективной.