我正在运行 Arch Linux,并参考简单状态防火墙 - ArchWiki。
我有两个不同的 bash 脚本用于创建 iptables 规则:一个用于 IPv4,另一个用于 IPv6。每个脚本都ipset使用适当的系列创建一个或多个哈希列表(集合):inet 或 inet6。
这种方法得到了以下机构的支持这个答案, “您需要有两组不同的设置:一组用于 IPv4,另一组用于 IPv6。”
我使用 systemd ipset.service,默认情况下它会加载文件/etc/ipset.conf。该配置文件创建了我的被禁止 IP 地址的哈希列表等。ipset仅使用一个配置文件,与使用 /etc/iptables/iptables.rules 和 /etc/iptables/ip6tables.rules 的 iptables 不同。
我的每个 iptables bash 脚本在末尾都有这个命令:
ipset save > /etc/ip6set.conf
将我的 ipset 哈希列表合并到单个配置文件中的好方法是什么,该文件将在启动 systemd 单元时按预期加载?例如,我可以按特定顺序运行我的 bash 脚本,并将第二个命令更改为ipset save >> /etc/ip6set.conf附加而不是替换吗?
这似乎不是一个好方法(即,它容易被破坏)。大多数人如何处理这个问题?