Centos 8 をfirewalldで使用しています。2 つの ipset を作成しました。1 つは永続的、もう 1 つはタイムアウト付きです。
firewall-cmd --permanent --new-ipset=blacklist_temp --type=hash:ip --option=timeout=86400
firewall-cmd --permanent --new-ipset=blacklist --type=hash:ip
firewall-cmd --reload
# ipset list
Name: blacklist_temp
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536 timeout 86400
Size in memory: 120
References: 0
Number of entries: 0
Members:
Name: blacklist
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 120
References: 0
Number of entries: 0
Members:
次に、トラフィックをドロップ ゾーンにリダイレクトします。
firewall-cmd --zone=drop --add-source=ipset:blacklist_temp
firewall-cmd --zone=drop --add-source=ipset:blacklist
さて、問題は次の通りです。
# firewall-cmd --ipset=blacklist --add-entry=1.2.3.4
success
# firewall-cmd --ipset=blacklist_temp --add-entry=5.6.7.8
success
# firewall-cmd --ipset=blacklist --remove-entry=1.2.3.4
success
# firewall-cmd --ipset=blacklist_temp --remove-entry=5.6.7.8
Warning: NOT_ENABLED: '5.6.7.8' not in 'blacklist_temp'
success
タイムアウトにより IP セットから IP を削除できません
# ipset list
Name: blacklist_temp
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536 timeout 86400
Size in memory: 216
References: 0
Number of entries: 1
Members:
5.6.7.8 timeout 86376
Name: blacklist
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 120
References: 0
Number of entries: 0
Members:
ファイアウォール コマンドを使用して削除を実行する方法はありますか? これはバグですか?
答え1
オプション timeout を使用して ipset にエントリを追加することは許可されていますが、これらのエントリは firewalld によって追跡されません。
これで私の質問への答えが出たと思います。