六、IPSet
iptables在进行包过滤的时候,对每个数据包都过滤一遍iptables中的规则。假设我们有如下三条规则:
-s 1.1.1.1 -p tcp accpet
-s 2.2.2.2 -p tcp accpet
-s 3.3.3.3 -p tcp accpet
那么当一个数据包源地址是3.3.3.3的时候,它首先去匹配第一条规则,不匹配再匹配第二条,最后在第三条匹配中了。想一想如果我有类似的100条规则呢?内核最差的情况是不是对一个数据包需要做100个规则匹配,这是相当没有效率的事情。在上述的例子中,其动作都是一样的能不能把这三条规则总结成一条规则呢 ?有那就是IPSet,它将多条iptable规则富集到一个ip set里,这个ip set使用hash或者图来组织,在netfilter过滤的时候,采用hash或者图方式规则运算进行查找,比原来的iptable一个顺序的规则查找方法运算速度提升很多,特别是规则条目很多的时候。
1、IPSet支持的匹配集
1.1 bitmap
支持bitmap:ip bimap:ip,mac和bitmap:port
支持hash:ip,hash:net ,hash:ip,port,net hash:ip,port,ip hash:net,port hash:net,if
支持list
2、使用例子:
针对上例,我们使用如下方法设置ipset
IPSet -N zxy_set hash:ip hashsize 256 maxelem 1024
IPSet add zxy_set 1.1.1.1
IPSet add zxy_set 2.2.2.2
IPSet add zxy_set 3.3.3.3
Iptable -I INPUT -m set --match-set zxy_set src -p tcp -j Accept
