
Buckminster
(usa Debian)
Enviado em 01/10/2025 - 15:10h
Nunca utilizei o IPSet, mas ele bloqueia milhões de IPs, pois foi feito para isso mesmo.
Ele é uma extensão do Netfilter (iptables/nftables) que permite criar e manipular conjuntos (sets) de IPs, redes (CIDRs), portas etc, que podem ser usados em regras de firewall. Ele foi projetado para desempenho e escalabilidade.
Sugiro utilizar o IPSet em conjunto com o NFTables, que é o sucessor do IPtables. Talvez, com o NFtables, tenha de usar o IPSet com o compat, pois pelo que vi o nftables não usa ipset diretamente como regra nativa — você precisa usar o compat.
https://ipset.netfilter.org/
https://www.netfilter.org/projects/ipset/index.html
https://www.netfilter.org/projects/nftables/index.html
"O que é ipset?
Conjuntos de IP são uma estrutura dentro do kernel Linux 2.4.x e posteriores, que pode ser administrada pelo utilitário ipset. Dependendo do tipo, atualmente um conjunto de IP pode armazenar endereços IP, números de porta (TCP/UDP) ou endereços IP com endereços MAC de forma a garantir a velocidade da luz na comparação de uma entrada com um conjunto.
Se você quiser armazenar vários endereços IP ou números de porta e comparar com a coleção do iptables de uma só vez,
atualizar dinamicamente as regras do iptables em relação aos endereços IP ou portas sem perda de desempenho,
expressar conjuntos de regras complexos baseados em endereços IP e portas com uma única regra iptables e se beneficiar da velocidade dos conjuntos IP;
então o ipset pode ser a ferramenta certa para você."
_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!