首页 > 防火墙 > iptables > 通过IPSET和IPTABLES完成服务器防火墙域名动态解析IP黑名单和白名单功能

通过IPSET和IPTABLES完成服务器防火墙域名动态解析IP黑名单和白名单功能

iptables

一.问题情况

由于习惯使用iptables防火墙,但是又由于iptables对动态域名解析支持不好,只有在iptables的规则reload的时候可以把域名解析的IP存入规则,如果后续域名解析IP变更了.iptables不能动态的获得域名的解析.

二.解决办法

centos7默认是firewalled防火墙,先关闭firewalled防火墙.

安装ipset和iptables

创建ipset的ip列表合集

开启iptables和ipset的服务并设置开机启动

 

以下脚本为使用域名解析添加IP白名单的脚本(黑名单同理请自行修改)

第一次执行由于没有旧IP会提示ipset删除失败忽略即可.后面就可以定时执行了.比如5分钟执行一次

这样iptables防火墙就可以动态的根据域名解析IP来进行ipset规则的判断了.