iptables 規則可以操縱 IP 集嗎？

在iptables-extensions(8)該set模組中進行了描述，並討論了可以對 IP 的存在或不存在或更一般地對 IP 集的匹配作出反應。

但是，似乎沒有一種方法可以使用iptables規則動態地將項目附加到 IP 集。

這個想法是，如果我使用該recent模組，我可以暫時將某些不斷嘗試的 IP 列入黑名單，並將它們添加到 IP 集中（這可能更快）。這意味著在這種情況下遍歷的規則更少，並且據說與 IP 集的匹配也更快。

事實證明，使用 中描述的目標是可能的。SETiptables-extensions(8)

SET
  This module adds and/or deletes entries from IP sets which can be defined by ipset(8).

  --add-set setname flag[,flag...]
         add the address(es)/port(s) of the packet to the set

  --del-set setname flag[,flag...]
         delete the address(es)/port(s) of the packet from the set

         where flag(s) are src and/or dst specifications and there can be no more
         than six of them.

  --timeout value
         when adding an entry, the timeout value to use instead of the default one
         from the set definition

  --exist
         when  adding  an  entry  if it already exists, reset the timeout value to
         the specified one or to the default from the set definition

  Use of -j SET requires that ipset kernel support is provided, which, for standard
  kernels, is the case since Linux 2.6.39.

我沒有找到它，因為我在找到set模組描述後沒有進一步搜尋。

引用自：https://unix.stackexchange.com/questions/131958