问题 1

Question

管理大量 IP 地址的防火墙规则的最佳方式仍然是ipset。

然后创建一组 IP 地址：

ipset create blacklist hash:ip hashsize 4096

并添加您需要阻止的每个 IP 地址：

ipset add blacklist 192.168.0.5 
ipset add blacklist 192.168.0.100 
ipset add blacklist 192.168.0.220

据我所知，firewalld 还没有一种 API 方法来添加在 match 模块上运行所需的 iptables 规则，所以我认为你最终会做一些像这样的稍微丑陋的事情：

firewall-cmd --direct --add-rule ipv4 filter INPUT 0  -m set --match-set blacklist src -j DROP

而不是像平常iptables -I INPUT -m set --match-set blacklist src -j DROP那样在没有防火墙的情况下进行操作。

Answer 1

管理大量 IP 地址的防火墙规则的最佳方式仍然是ipset。

然后创建一组 IP 地址：

ipset create blacklist hash:ip hashsize 4096

并添加您需要阻止的每个 IP 地址：

ipset add blacklist 192.168.0.5 
ipset add blacklist 192.168.0.100 
ipset add blacklist 192.168.0.220

据我所知，firewalld 还没有一种 API 方法来添加在 match 模块上运行所需的 iptables 规则，所以我认为你最终会做一些像这样的稍微丑陋的事情：

firewall-cmd --direct --add-rule ipv4 filter INPUT 0  -m set --match-set blacklist src -j DROP

而不是像平常iptables -I INPUT -m set --match-set blacklist src -j DROP那样在没有防火墙的情况下进行操作。

问题2