Set IP adalah kumpulan alamat IP, rentang jaringan, alamat MAC, nomor port, dan nama antarmuka jaringan yang disimpan. Alat iptables dapat memanfaatkan set IP untuk pencocokan aturan yang lebih efisien. Misalnya, katakanlah Anda ingin menghentikan lalu lintas yang berasal dari salah satu dari beberapa rentang alamat IP yang Anda ketahui berbahaya. Alih-alih mengonfigurasi aturan untuk setiap rentang di iptables secara langsung, Anda dapat membuat kumpulan IP dan kemudian mereferensikan yang ditetapkan dalam aturan iptables. Ini membuat kumpulan aturan Anda dinamis dan karenanya lebih mudah dikonfigurasi; kapan pun Anda perlu menambah atau menukar pengidentifikasi jaringan yang ditangani oleh firewall, Anda cukup mengubah set IP.
Perintah ipset memungkinkan Anda untuk membuat dan memodifikasi set IP. Pertama, Anda perlu menetapkan nama, metode penyimpanan, dan tipe data untuk set Anda, seperti:
# ipset create range_set hash:net
Dalam hal ini, range_set adalah nama, hash adalah metode penyimpanan, dan net adalah tipe data. Kemudian, Anda dapat menambahkan rentang ke set:
# ipset add range_set 178.137.87.0/24 # ipset add range_set 46.148.22.0/24
Kemudian, Anda menggunakan iptables untuk mengonfigurasi aturan untuk menghapus lalu lintas yang sumbernya cocok dengan rentang dalam kumpulan ini:
# iptables -I INPUT -m set --match-set range_set src -j DROP
Atau, untuk menurunkan lalu lintas yang tujuannya cocok dengan kumpulan:
iptables -I OUTPUT -m set --match-set range_set dst -j DROP
SYNTAX
Sintaks dari perintah ipset adalah:
# ipset [options] {command} Memblokir daftar jaringan
1. Mulailah dengan membuat "set" alamat jaringan baru. Tindakan ini akan membuat kumpulan alamat jaringan "net" "hash" baru bernama "myset".
# ipset create myset hash:net
atau
# ipset -N myset nethash
2. Tambahkan alamat IP yang ingin Anda blokir ke set.
# ipset add myset 14.144.0.0/12 # ipset add myset 27.8.0.0/13 # ipset add myset 58.16.0.0/15 # ipset add myset 1.1.1.0/24
3. Terakhir, konfigurasikan iptables untuk memblokir alamat apa pun di set itu. Perintah ini akan menambahkan aturan ke bagian atas rantai "INPUT" ke "-m" cocok dengan set bernama "myset" dari ipset (–match-set) ketika itu adalah paket "src" dan "DROP", atau blok, itu.
# iptables -I INPUT -m set --match-set myset src -j DROP
Memblokir daftar alamat IP
1. Mulailah dengan membuat "set" alamat ip baru. Ini akan membuat kumpulan alamat “ip” “hash” baru bernama “myset-ip”.
# ipset create myset-ip hash:ip
atau
# ipset -N myset-ip iphash
2. Tambahkan alamat IP yang ingin Anda blokir ke set.
# ipset add myset-ip 1.1.1.1 # ipset add myset-ip 2.2.2.2
3. Terakhir, konfigurasikan iptables untuk memblokir alamat apa pun di set itu.
# iptables -I INPUT -m set --match-set myset-ip src -j DROP
Membuat ipset persisten
IPset yang Anda buat disimpan dalam memori dan akan hilang setelah reboot. Untuk membuat ipset persisten, Anda harus melakukan hal berikut:
1. Simpan ipset terlebih dahulu ke /etc/ipset.conf :
# ipset save > /etc/ipset.conf
2. Kemudian aktifkan ipset.service, yang bekerja mirip dengan iptables.service untuk memulihkan aturan iptables.
Perintah Lainnya
1. Untuk melihat set:
# ipset list
atau
# ipset -L
2. Untuk menghapus set bernama “myset”:
# ipset destroy myset
atau
# ipset -X myset
3. Untuk menghapus semua set:
# ipset destroy