我有我很长的列表1500+ ips在一个文件可以说/etc/blocklist.ips每个IP在一行的文件。 我怎样才能从文件中的每个IP与从centos 7 firewalld? 我也一直在寻找/ firewald文件夹中的.xml文件,所以这意味着我应该在.xml文件中创build我的阻止列表?
Bevering Firewalld停止doens't意味着用firewalld创build的规则是不是在iptables的权利?
Flushing iptables也将删除firewalld上的所有内容?
pipe理大量IP地址的防火墙规则的最好方法仍然是使用ipset 。
然后创build一组IP地址:
ipset create blacklist hash:ip hashsize 4096
并添加您需要阻止的每个IP地址:
ipset add blacklist 192.168.0.5 ipset add blacklist 192.168.0.100 ipset add blacklist 192.168.0.220
AFAIK firewalld还没有API方法来添加所需的iptables规则,在匹配模块上工作,所以你最终会做这样的事情有点丑陋,我想:
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m set --match-set blacklist src -j DROP
而不是通常的iptables -I INPUT -m set --match-set blacklist src -j DROP在没有firewalld的情况下,你将完成iptables -I INPUT -m set --match-set blacklist src -j DROP 。