如何从iptables规则正确添加IP地址到ipset? 或者根本不可能?
这条规则对我不起作用: -A INPUT -m recent --name IP_LIST --set
IP_LIST的types是散列:net IP_LIST是使用命令ipset create IP_LIST hash:net
但检查一个IP的同一列表放弃它,工程: -A INPUT -m set --match-set IP_LIST src -j DROP
所以,既然-j SET是你想要的:
在iptables中, -m set用于比较数据包和ipset( -m表示匹配),它可以在单个规则中多次使用。
另一方面, -j SET用于将条目插入到ipset中,它是一个非终止目标,意味着规则遍历将继续。
你应该阅读iptables的manpage页面来获得预期语法的完整解释。
iptables文档表明, recent模块与ipset无关。 相反,它会创build仅供自身使用的dynamic列表。 recent模块使用的列表通过procfs /proc/net/xt_recent/
正如@Olipro和@ 0x534B41所说的,我不能用-m recent 。 所以,要从iptables规则添加一个ipset的条目,你应该使用-j SET --add-set IPSET_LIST src