添加 iptables 规则-ipset配置黑名单

发布时间:2016-07-28 09:49:35编辑:丝画阁阅读(301)

iptables -I INPUT -m set --match-set vader src -j DROP

如果源地址(src)属于 vader 这个集合,就进行 DROP 操作。这条命令中,vader 是作为黑名单的,如果要把某个集合作为白名单,添加一个 ‘!’ 符号就可以。

iptables -I INPUT -m set ! --match-set yoda src -j DROP

到现在虽然创建了集合,添加了过滤规则,但是现在集合还是空的,需要往集合里加内容。


现在是时候去创建一个使用IP集的iptables规则了。这里的关键是使用”-m set –match-set “选项。

创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则


$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP



在Linux中,只要借助netfilter/iptables框架,就很容易实现阻止IP地址这一目的:

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整个IP地址区段,也能同样做到这一点:

$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

关键字