关于使用firewalld禁止特定ip访问的方法，在我的另一篇文章中介绍了使用不同zone区进行过滤的方法，使用firewall-cmd仅允许某个ip访问主机指定端口_firewall-cmd指定ip端口访问-CSDN博客这比直接编写ip规则更容易让人理解，但如果遇到需要对比较多ip进行限制，直接在source进行添加过于零乱，不便于管理。针对这种情况我们需要引用新的管理方法，即ipset.ipset 是一种高效的数据结构，用于在Linux内核中存储和查找多个IP地址和端口信息，并且可以与firewalld等防火墙服务结合使用以实现更灵活、高效的IP过滤策略。ipset是一个内核模块，提供了一

一.介绍    ipset命令是用于管理内核中IPsets模块的，如iptables之于netfilter。ipset字面意思是一些IP地址组成一个集合（set）。但是ipset用于用于存储IP地址，整个子网，端口号（TCP/UDP)，MAC地址，网络接口名或者上述这些的组合。ipset主要是由iptables来使用，用于提高iptables的灵活性，简化iptables的规则。可能你在使用iptables时会感觉到以下不便：    1.使用iptables命令为一批IP地址或端口应用相同的iptables规则时，不得不为每个IP或端口都新建一条iptables规则。这有时会让iptables

ipset、iptables快速使用1.直接来看一条命令sudoipsetaddmyset_name127.0.0.1# 本条命令的意思是：在名为myset_name的一个集合中添加（add）一条地址为127.0.0.1的ipsudoipsetaddmyset_name127.0.0.1-127.0.1.200# 可以在一个ipset中批量加入ip地址，固定写法：中间以“-”连接，地址需要写全，不全会报错，加不进去2.如何创建一个ipset？sudoipsetcreatemysethash:ip# hash:ip表示创建一个使用IP地址作为元素的哈希集合。它指定了ipset的类型和数据结构，以

前言：   境外肉鸡攻击有点多，并业务无境外访问需求，IDC机房网络防火墙无法实现8K多条的china大陆地址导入；为实现仅china大陆地址访问，在业务入口主机（DNAT端口映射或DNAT端口转发），使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。如仅仅对某端口做过滤，搜本博"iptables-ipset仅允许国内访问---端口白名单"篇如需简单快捷的方式，搜本博“以错误路由方式禁止境外IP来访”篇(缺点：主机也无法主动请求境外目标了)创建ipset得到的备份文件，便于批量添加8k条地址创建一个ipset ipsetcreatewhitelisthas