2.8.9.5. iptables および IP セット
ipset ユーティリティーは、Linux カーネルで IP セット を管理するために使用されます。IP セットは、IP アドレス、ポート番号、IP と MAC アドレスのペア、または IP アドレスとポート番号のペアを格納するフレームワークです。セットは、セットが非常に大きい場合でも、セットに対して非常に高速な一致が行われるようにインデックス化されます。IP セットを使用すると、より簡単で管理可能な設定が可能になり、iptables を使用する際にパフォーマンス上の利点が得られます。iptables のマッチおよびターゲットは、カーネルの所定セットを保護する参照を作成します。セットを参照する単一の参照がある場合は、セットを破棄することはできません。
ipset を使用すると、以下のように iptables コマンドを使用できます。セット
~]# iptables -A INPUT -s 10.0.0.0/8 -j DROP ~]# iptables -A INPUT -s 172.16.0.0/12 -j DROP ~]# iptables -A INPUT -s 192.168.0.0/16 -j DROPは以下のように作成されます。そして、
~]# ipset create my-block-set hash:net ~]# ipset add my-block-set 10.0.0.0/8 ~]# ipset add my-block-set 172.16.0.0/12 ~]# ipset add my-block-set 192.168.0.0/16以下のように iptables コマンドで参照されます。セットが設定時間よりも複数使用される
~]# iptables -A INPUT -m set --set my-block-set src -j DROP
場合。セットに多くのエントリーが含まれる場合は、処理時間を保存するエントリーが多数含まれます。
2.8.9.5.1. ipset のインストール
ipset ユーティリティーをインストールするには、
root で以下のコマンドを実行します。使用方法に関するメッセージが
~]# yum install ipset
表示されます。
~]$ ipset -h
ipset v6.11
Usage: ipset [options] COMMAND
