转:ipset辅助提高iptables性能
IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which can be administered by the ipset utility. Depending on the type, currently an IP set may store IP addresses, (TCP/UDP) port numbers or IP addresses with MAC addresses in a way, which ensures lightning speed when matching an entry against a set.refer to http://ipset.netfilter.org/;
ipset是高效管理 ip地址/端口/mac地址 的模块,一般用于辅助提高iptables的性能;
例如,
ipset -N testset iphash
ipset -A testset 192.168.1.1
ipset -A testset 192.168.2.2
iptables -A INPUT -m set --set testset src -j DROP
原文:http://blog.sina.com.cn/s/blog_781b0c850101s2me.html 我用ipset来写简单的UDP黑名单
但是可能遇到伪造IP发送的UDP flood攻击 数据包字节小+数据包多
IP和正常IP相同 端口不同 只能委屈那个IP了……
要是能自动记录下IP+端口 做专门的DORP就好了
也不知道是不是故意攻击的 感觉是数据包跨运营商 断层 抓到的 都是河南联通的……
页:
[1]