使用ipset来批量控制iptables

配置如下

1、安装ipset
yum install ipset

2、使用 ipset 创建列表
ipset create server hash:ip

3、添加 ip
ipset add server 192.168.1.1
ipset add server 192.168.1.2

4、导出 ipset
ipset save > /etc/sysconfig/ipset

5、在导出 到 /etc/sysconfig/ipset之后 ， 重启之后 ipset 会读取 该文件，并将列表恢复。

6、iptable 使用 ipset 进行灵活的ip限制
例如:
-A INPUT -m set –match-set server src -j ACCEPT
-A INPUT -p tcp -m set –match-set testlist src -m tcp –dport 6379 -j ACCEPT
-A INPUT -p tcp -m set –match-set testlist src -m tcp –dport 2222 -j ACCEPT
-A INPUT -p tcp -j DROP

这样就实现了，只允许ipset 列表里的ip 访问 2222 和 6379 端口了。

============================================
如果需要对只在列表内的服务器开放全部端口则添加如下规则

-A INPUT -m set –match-set server src -j ACCEPT