小樱 发表于 2016/1/16 03:20

转:ipset辅助提高iptables性能

IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which can be administered by the ipset utility. Depending on the type, currently an IP set may store IP addresses, (TCP/UDP) port numbers or IP addresses with MAC addresses in a way, which ensures lightning speed when matching an entry against a set.
refer to http://ipset.netfilter.org/;

ipset是高效管理 ip地址/端口/mac地址 的模块,一般用于辅助提高iptables的性能;
例如,
ipset -N testset iphash
ipset -A testset 192.168.1.1
ipset -A testset 192.168.2.2
iptables -A INPUT -m set --set testset src -j DROP


原文:http://blog.sina.com.cn/s/blog_781b0c850101s2me.html

仁二 发表于 2019/11/28 01:34

我用ipset来写简单的UDP黑名单
但是可能遇到伪造IP发送的UDP flood攻击 数据包字节小+数据包多
IP和正常IP相同 端口不同 只能委屈那个IP了……
要是能自动记录下IP+端口 做专门的DORP就好了
也不知道是不是故意攻击的 感觉是数据包跨运营商 断层 抓到的 都是河南联通的……

页: [1]
查看完整版本: 转:ipset辅助提高iptables性能