IP set · linux

[TOC] ``` ### 首先创建一个名字为whitelist的net $ ipset create whitelist hash:net ### 把主机网段(192.168.2.0/24)和容器网段(172.26.0.0/16)以及localhost添加到这个net中 $ ipset add whitelist 192.168.2.0/24 $ ipset add whitelist 172.26.0.0/16 $ ipset add whitelist 127.0.0.1/32 ### 执行以下的命令确认该net中已经添加成功 $ ipset list whitelist Name: whitelist Type: hash:net Revision: 6 Header: family inet hashsize 1024 maxelem 65536 Size in memory: 536 References: 0 Number of entries: 3 Members: 127.0.0.1 192.168.2.0/24 172.26.0.0/16 ### 拒绝whitelist以外的主机访问6443端口 $ iptables -t filter -A INPUT -p tcp --dport 6443 -m set ! --match-set whitelist src -j DROP ```