I set IP sono raccolte archiviate di indirizzi IP, intervalli di rete, indirizzi MAC, numeri di porta e nomi di interfacce di rete. Lo strumento iptables può sfruttare i set IP per una corrispondenza delle regole più efficiente. Ad esempio, supponiamo che tu voglia eliminare il traffico che proviene da uno dei numerosi intervalli di indirizzi IP che sai essere dannoso. Invece di configurare direttamente le regole per ogni intervallo in iptables, puoi creare un set IP e quindi fare riferimento a quel set in una regola iptables. Questo rende i tuoi set di regole dinamici e quindi più facili da configurare; ogni volta che è necessario aggiungere o sostituire gli identificatori di rete gestiti dal firewall, è sufficiente modificare l'IP impostato.
Il comando ipset consente di creare e modificare set IP. Per prima cosa devi impostare un nome, un metodo di archiviazione e un tipo di dati per il tuo set, ad esempio:
# ipset create range_set hash:net
In questo caso, range_set è il nome, hash è il metodo di archiviazione e net è il tipo di dati. Quindi, puoi aggiungere gli intervalli al set:
# ipset add range_set 178.137.87.0/24 # ipset add range_set 46.148.22.0/24
Quindi, utilizzi iptables per configurare una regola per eliminare il traffico la cui origine corrisponde agli intervalli in questo set:
# iptables -I INPUT -m set --match-set range_set src -j DROP
In alternativa, per eliminare il traffico la cui destinazione corrisponde a quella impostata:
iptables -I OUTPUT -m set --match-set range_set dst -j DROP
SINTASSI
La sintassi del comando ipset è:
# ipset [options] {command} Blocco di un elenco di reti
1. Inizia creando un nuovo "set" di indirizzi di rete. Questo crea un nuovo set "hash" di indirizzi di rete "net" chiamato "myset".
# ipset create myset hash:net
o
# ipset -N myset nethash
2. Aggiungi qualsiasi indirizzo IP che desideri bloccare al set.
# ipset add myset 14.144.0.0/12 # ipset add myset 27.8.0.0/13 # ipset add myset 58.16.0.0/15 # ipset add myset 1.1.1.0/24
3. Infine, configura iptables per bloccare qualsiasi indirizzo in quel set. Questo comando aggiungerà una regola all'inizio della catena "INPUT" in modo che "-m" corrisponda al set denominato "myset" da ipset (–match-set) quando è un pacchetto "src" e "DROP", o blocco, esso.
# iptables -I INPUT -m set --match-set myset src -j DROP
Blocco di un elenco di indirizzi IP
1. Inizia creando un nuovo "set" di indirizzi IP. Questo crea un nuovo set "hash" di indirizzi "ip" chiamato "myset-ip".
# ipset create myset-ip hash:ip
o
# ipset -N myset-ip iphash
2. Aggiungi qualsiasi indirizzo IP che desideri bloccare al set.
# ipset add myset-ip 1.1.1.1 # ipset add myset-ip 2.2.2.2
3. Infine, configura iptables per bloccare qualsiasi indirizzo in quel set.
# iptables -I INPUT -m set --match-set myset-ip src -j DROP
Rendere ipset persistente
L'ipset che hai creato è archiviato in memoria e scomparirà dopo il riavvio. Per rendere persistente l'ipset devi fare quanto segue:
1. Per prima cosa salva l'ipset in /etc/ipset.conf :
# ipset save > /etc/ipset.conf
2. Quindi abilita ipset.service, che funziona in modo simile a iptables.service per il ripristino delle regole di iptables.
Altri comandi
1. Per visualizzare i set:
# ipset list
o
# ipset -L
2. Per eliminare un set denominato “myset”:
# ipset destroy myset
o
# ipset -X myset
3. Per eliminare tutti i set:
# ipset destroy