如何使用单个规则检查 IPTables 中 IPSet 中的多个 IP 列表?
我需要添加检查两个 IP 列表,因为它太大了。我知道这不健康,但我需要这样做。
现行规则:
-A INPUT -m state --state NEW -m set ! --match-set trustedlist1 src -j DROP
现在我想做这样的事情:
-A INPUT -m state --state NEW -m set ! --match-set trustedlist1, trustedlist2 src -j DROP
我不想把自己锁在门外。
答案1
尝试这个
-A INPUT -m state --state NEW -m set ! --match-set trustedlist1 src -m set ! --match-set trustedlist2 src -j DROP
更好的解决方案是通过提供 maxelem 选项来安排 ipset 大小。例如;
ipset create trustedlist1 hash:ip maxelem 2000000