1.11. 使用 firewalld 设置和控制 IP 集

要列出永久环境中 firewalld 已知的 IP 集，请以 root 用户身份运行以下命令：

# firewall-cmd --permanent --get-ipsets

要添加新的 IP 集，请以 root 用户身份使用 permanent 环境来运行以下命令：

# firewall-cmd --permanent --new-ipset=test --type=hash:net
success

上面的命令为 IPv4 创建了一个名为 test 和 hash:net 类型的新 IP 集。要创建用于 IPv6 的 IP 集，请添加 --option=family=inet6 选项。要使新设置在运行时环境中有效，请重新加载 firewalld。

以 root 身份使用以下命令列出新 IP 集：

# firewall-cmd --permanent --get-ipsets
test

要获得有关 IP 集的更多信息，请以 root 身份运行以下命令：

# firewall-cmd --permanent --info-ipset=test
test
type: hash:net
options:
entries:

请注意，IP 集目前没有任何条目。

要向 test IP 集中添加一个条目，请以 root 身份运行以下命令：

# firewall-cmd --permanent --ipset=test --add-entry=192.168.0.1
success

前面的命令将 IP 地址 192.168.0.1 添加到 IP 集合中。

要获取 IP 集合中当前条目的列表，请以 root 身份运行以下命令：

# firewall-cmd --permanent --ipset=test --get-entries
192.168.0.1

创建包含 IP 地址列表的 iplist.txt 文件，例如：

192.168.0.2
192.168.0.3
192.168.1.0/24
192.168.2.254

包含 IP 集合 IP 地址列表的文件应该每行包含一个条目。以 hash、分号或空行开头的行将被忽略。

要从 iplist.txt 文件中添加地址，请以 root 身份运行以下命令：

# firewall-cmd --permanent --ipset=test --add-entries-from-file=iplist.txt
success

要查看 IP 集合的扩展条目列表，请以 root 身份运行以下命令：

# firewall-cmd --permanent --ipset=test --get-entries
192.168.0.1
192.168.0.2
192.168.0.3
192.168.1.0/24
192.168.2.254

要从 IP 集合中删除地址并检查更新的条目列表，请以 root 身份运行以下命令：

# firewall-cmd --permanent --ipset=pass:_test_ --remove-entries-from-file=iplist.txt
success
# firewall-cmd --permanent --ipset=test --get-entries
192.168.0.1

您可以将 IP 集合作为一个源添加到区，以便处理所有来自 IP 集合中列出的任意地址的网络流量。例如，要将 test IP 集作为源添加到 drop 区来丢弃来自 test IP 集中列出的所有条目的所有数据包，请以 root 身份运行以下命令：

# firewall-cmd --permanent --zone=drop --add-source=ipset:test
success

源中的 ipset: 前缀向 firewalld 表示，源是一个 IP 集，而不是一个 IP 地址或一个地址范围。