使用ipset精简iptables规则的IP列表

一、ipset命令的基本用法

摘要

ipset -N 集合类型描述 [选项]
ipset - [XFLSHh] [集合] [选项]
ipset - [EW] 进设置出设置
ipset - [ADU] 集合元素
ipset -B集合元素-b binding
ipset -T集合元素 [-b binding]
ipset -R

命令

这些选项明确地指定了执行的活动。只有一个命令可以在命令行中规定除非其他的命令在下面。对于所有的长版本命令和选项名称，必须使用足够大的空间以确保ipset可以把他们和其他的选项区分开。

-N, --创建集合名称类型类型具体选项
创建一个用集合名称命名并且指定类型的集合。类型具体选项必须是系统规定的。

-X, --删除 [集合名称]
删除指定的集合，如果没有指定或者指定all就删除全部集合。在删除集合之前，所有基于集合的绑定和默认绑定都会被移除。
如果集合已经被使用，则什么都不做。

-F, --清空 [集合名称]
删除指定集合中的所有规则, 如果没有指定或者指定了all就清空所有的集合。绑定不会受到清空操作的影响。

-E, --重命名旧集合名新集合名
重命名集合，新集合名的标识必须是目前不存在。

-W, --交换源集合名目的集合名
交换两个集合的内容，或者说交换两个集合的名称。这两个集合必须是存在的而且是具有相同的类型才能交换。

-L, --列出 [集合名名称]
列出指定集合的规则和绑定，如果没有指定或者指定为all就列出所有的集合。-n选项，数字选项可以用来限定名称查找和生产数字输出，当-s ，分类选项已经使用，规则将分类排列（如果给出的集合类型支持这个选项）。

-S, --保存 [集合名称]
保存指定名称的集合，如果没有指定或者指定为all,则保持所有集合:指定恢复可以读取的标准输出格式。

-R, --复原
复原已保存的会话.已被保存的会话可以是标准输入提供的。
当产生一个会话文件的时候请注意支持的命令（创建集合，添加元素，绑定）必须遵循严格的规范：首先创建集合添加所有属于它的集合等等，最后你可以列出所有的绑定命令.此外，这是一个复原选项，所以复原的集合必须是不存在的。

-A, --添加集合名称 IP
往集合中添加一个ip。

-D, --删除集合名称IP
从集合中删除一个ip

-T, --测试集合名称 IP
测试一个ip是不是在集合中，要是ip在集合中返回0，如果ip不在集合中则返回非0.

-T, --测试集合名称 IP 绑定的目的集合
测试ip是否附属指定集合的绑定点。如果成功返回0，否则返回非0.关键字default可以用来测试集合的默认绑定。

-B, --绑定集合名称 IP 绑定的目的集合
绑定集合里的ip和目的集合

-U, --解除绑定集合名称 IP
删除集合中指定ip的绑定。

-H, --帮助 [设置类型]
找出指定设置类型的帮助信息。
在-B –U和-T命令，你可以使用默认的：default，去绑定，解除绑定或者测试默认绑定去代替ip.在-U命令中你可以使用默认的：all去删除绑定集合的所有元素。

其他选项

接下来的选项可以被指定

-b, --binding setname

这个选择为-B绑定选项指定值。这是一个强制性的命令. 你在-T中可以用来测试绑定。

-s, --分类
分类标准输出.当监听集合，规则列表分类的时候。

-n, --数字
数字输出。当监听集合，绑定，ip地址和端口好需要输出的时候使用数字格式. 默认的系统试着去显示这些信息用主机名，网络名和服务，这会引起dns查找。

-q, --安静
禁止在标准输出和标准错误上有认可输出但是ipset还是会返回可能的错误。

二、管理ipset列表

1、初始化IP列表
ipset create \[name\] hash:net

2、向列表中添加IP
ipset add \[name\] ip

3、从列表中删除IP
ipset del \[name\] ip

4、销毁IP列表
ipset destroy \[name\]

三、通过iptables引用ipset列表

1、先初始化一个IPSET列表
ipset create blacklist hash:net

2、向IPSET列表中添加要屏蔽的IP
ipset add blacklist 1.1.1.1

3、将IPSET列表引用iptables规则
iptables -I INPUT -m set --match-set blacklist src -j DROP

通过 -m set 引用iptables的set模块，--match-set 匹配ipset列表名称，src 表示指定列表为来源IP列表。
注意：当ipset列表更新时，需要重新添加iptables规则才会生效。