Eu tenho que trocar conjuntos de IP, ou posso adicionar / remover na hora?

Navegue suas respostas
2

Eu queria saber sobre a semântica de ipset(8) .

É possível adicionar uma regra que corresponda a um conjunto a iptables e, em seguida, manipular o conjunto ou apenas criar um conjunto e trocá-lo por um conjunto mais antigo para aplicá-lo a uma regra iptables correspondente ao nome? ou seja. posso adicionar / remover para / de um IP ad hoc, ou posso trocar conjuntos inteiros enquanto os conjuntos estão em uso ativo?

A razão pela qual eu pergunto é que isto é o seguinte. Digamos que eu crie um conjunto 

ipset create PCs hash:ip
ipset add PCs 1.1.1.1
ipset add PCs 2.2.2.2

... et cetera. E uma regra que permite acesso ao HTTP: 

iptables -A INPUT -p tcp --dport 80 -m set --set PCs src -j ACCEPT

O que acontece quando eu corro: 

ipset add PCs 3.3.3.3

a regra iptables agora terá efeito imediato para o IP 3.3.3.3 também?

Eu vi que é possível usar -j SET --add-set ... para manipular conjuntos IP ad hoc de dentro das regras iptables . Isso me faz pensar que deve funcionar para manipular um conjunto em um determinado ponto.

No entanto, o site do projeto ipset parece sugerir que a troca de um novo conjunto (ajustado) por outro é a melhor alternativa. Seja via ipset swap ou via ipset restore -! .

Alguém pode esclarecer isso?

    
por 0xC0000022L 15.05.2014 / 01:40

1 resposta

3

Você pode adicionar e remover IPs para seus conjuntos já definidos na hora. Essa é uma das ideias por trás dos IPsets: se isso não for possível, toda a extensão set de iptables não faria muito sentido.

O objetivo principal de ipset era permitir que você definisse (também dinamicamente) as classes de correspondências (por exemplo, para hospedar maliciosamente dinamicamente na lista negra sem a necessidade de adicionar magicamente uma regra para cada host).

trecho da página inicial do ipset

  • store multiple IP addresses or port numbers and match against the collection by iptables at one swoop
  • dynamically update iptables rules against IP addresses or ports without performance penalty
  • express complex IP address and ports based rulesets with one single iptables rule and benefit from the speed of IP sets
    
por 15.05.2014 / 02:30

Tags

Comandos executados quando o terminal está aberto não aparecem no histórico debian7 arquivos cron.allow e cron.deny