ipsetに保存されているIPアドレスホワイトリストがあります。ホワイトリストにないすべてのIPがすぐに削除され、チェーンの下のすべてのルールが考慮されない入力チェーンのiptablesルールを作成したいと思います。 IP がホワイトリストのアドレスと一致すると、チェーンに沿って進み、他のルールを確認します。
ホワイトリストに基づいてデフォルトポリシーDROPおよびALLOWルールを設定すると、ホワイトリストにないIPアドレスがチェーン内の他のルールと比較され、その基準に基づいて許可される可能性がありますが、これは望ましくありません。また、ホワイトリストルールに一致するトラフィックをすぐに通過させたくない(ここではホワイトリストという名前が間違っているようです)、代わりに追加のレビューのためにトラフィックを適用したいと思います。 iptablesは「一致しないときに削除」ロジックをサポートしますか?
答え1
まず、ホワイトリストを作成して名前(識別子)を選択してください。mylistこの例では、私の名前を指定しました。
$ sudo ipset -N mylist iphash
私のホワイトリストで許可したい10.10.10.0/24リスト10.80.80.0/24にない項目はすべて削除したいと思います。
$ sudo ipset -A mylist 10.10.10.0/24
$ sudo ipset -A mylist 10.80.80.0/24
ホワイトリストに定義されていないホストからのトラフィックを破棄します。
$ sudo iptables -A INPUT -m set ! --match-set mylist src -j DROP
その後、ホワイトリストで定義されているホストは、要件を満たすために必要なアクセスレベルを許可できます。