Usandoipsetlimpiar voluminososiptablelos conjuntos de reglas no parecen tan diferentes entreIPv4yIPv6:
# ipset create TEST hash:net family inet
# ipset create DEMO hash:net family inet6
# iptables -A INPUT -m set --match-set TEST src -j DROP
# ip6tables -A INPUT -m set --match-set DEMO src -j DROP
Sin embargo, al agregar rangos de IP, surgen cambios inesperados.Los errores ocurren solo para rangos de IPv6.:
# ipset add TEST 192.0.2.0-192.0.2.127
# ipset add DEMO 2001:db8::-2001:db8::ffff
ipset v6.34: Syntax error: IP address or IP/cidr must be specified: 2001:db8::-2001:db8::ffff
Esto es inesperado, ya queipsetparece ser capaz de analizar estosIPv6direcciones:
# ipset add DEMO 2001:db8::/112
# ipset del DEMO 2001:db8::/112
# ipset add DEMO 2001:db8::ffff/112
# ipset -L DEMO | tail -2
Members:
2001:db8::/112
¿Por quéipsetaceptar fromaddr-toaddrrangos para IPv4 pero considera lo mismo como un error de sintaxis paraIPv6?
Respuesta1
La fromaddr-toaddrsintaxis sólo es compatible con IPv4. Usa cidrnotación para sumarIPv6rangos.
Para elinetfamilia, se pueden agregar o eliminar varias entradas especificando un rango o una red de direcciones IPv4 en la parte de la dirección IP de la entrada.hombre 8 ipset