Como adicionar corretamente um endereço IP ao ipset de uma regra iptables? Ou isso não é possível?
Esta regra não funciona para mim: -A INPUT -m recent --name IP_LIST --set
Tipo de IP_LIST é hash: net
IP_LIST foi criado usando o comando ipset create IP_LIST hash:net
Mas verificar a mesma lista de um IP para soltá-lo funciona:
-A INPUT -m set --match-set IP_LIST src -j DROP
Então, como -j SET é o que você queria:
Dentro do iptables, -m set é usado quando você quer comparar um pacote com um ipset ( -m significa correspondência) ele pode ser usado várias vezes em uma única regra.
-j SET , por outro lado, é usado para inserir uma entrada em um ipset, é um destino sem terminação , significando que o percurso da regra continuará.
Você deve ler o manual do iptables para uma explicação completa da sintaxe esperada.
Como @Olipro e @ 0x534B41 disseram, não devo usar -m recent .
Então, para adicionar uma entrada ao ipset de uma regra iptables, você deve usar -j SET --add-set IPSET_LIST src
recent module não tem nada a ver com ipset . Em vez disso, cria listas dinâmicas que são usadas apenas por si. As listas recent module uses são expostas via procfs em /proc/net/xt_recent/
Tags iptables ip-address blacklist ipset