動態填充 ipset 列表以將匹配某個 iptables 規則的 ip 地址列入黑名單

我編寫了以下 iptables 規則：

iptables -N flood

iptables -A INPUT -i eth0 -j flood

iptables -A flood -m limit --limit 1/sec --limit-burst 30 -j RETURN

iptables -A flood -j LOG --log-ip-options --log-uid --log-level 4 --log-prefix "IPTABLES: FLOOD: "

iptables -A flood -j DROP

我想將任何符合此規則的 IP 地址列入黑名單並阻止。如何即時填充和更新 ipset 列表以添加匹配某些 iptables 規則的 IP 地址。有沒有辦法做到這一點？

我假設您要添加以超過指定速率發送流量的主機的源 IP 地址。

為此，您可以使用：

iptables -A flood -m limit --limit 1/sec --limit-burst 30 -j SET --add-set ipsetname src

引用自：https://unix.stackexchange.com/questions/379420