我可以使用 ipset 成员将 iptables 列入白名单/黑名单,但重新启动后,iptables 会被清空,因为未加载内核模块。过去通过自定义 iptables init 脚本一瘸一拐地前进,但必须有一个开箱即用的方法。
在 CentOS/RHEL 6.5 上,您可以从基础存储库安装 ipset。第一行来自
百胜信息说
IP 集是 Linux 2.4.x 和 2.6.x 内核中的一个框架,可以: 由 ipset 实用程序管理。
所以我很惊讶内核模块有问题:
ip6tables:加载附加模块:nf_conntrack_netbios_ns ... OK iptables:应用防火墙规则:iptables-restore v1.4.7:内核模块 ip_set 未加载。
我已经尝试了 ip-set 和 ip_set 这个模块名称,但没有成功:
/etc/sysconfig/iptables-config: IPTABLES_MODULES="nf_conntrack_netbios_ns ip_set"
每个 ipset 数据结构也可能有单独的模块。换句话说,一个仅用于 ipset 哈希、ipset 位图和 ipset 列表的模块。