ipset 是 iptables 的扩展,它允许你创建匹配整个地址 sets(地址集合)的规则。而不像普通的iptables 链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即使集合比较大也可以进行高效的查找。除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,ipset 也具备一些新防火墙设计方法,并简化了配置。netfilter 官网
ipset 为我实现的一些功能:
- 防火墙 – 通信规则
- 防火墙 – 端口转发
在 OpenWrt21 环境里已集成有 ipset 扩展,使用 ipset --help 我们可以了解更多使用帮助,目前我只针对本人使用 ipset 范围展开。
禁止WAN至LAN访问黑名单
禁止黑名单内的IP(网段)集合,从WAN区域访问LAN区域。
查看 Nginx 日志我们会发现有许多外国IP地址莫名其妙的的访问且不是正常的访问,本来我们暴露在公网的服务仅自己的小圈子使用的,那么我们看哪些不顺眼的IP地址,可以将其添加到禁止访问黑名单。
登录查看完整内容
通过以上两个步骤,即实现了往黑、白名单添加或删除条目,实时生效且重启不丢失修改的配置。
关于 ipset 使用 ipset --help 我们可以了解更多使用帮助。