방화벽과 함께 Centos 8 사용. ipset 2개(영구 ipset 1개, 시간 초과 ipset 1개)를 만들었습니다.
firewall-cmd --permanent --new-ipset=blacklist_temp --type=hash:ip --option=timeout=86400
firewall-cmd --permanent --new-ipset=blacklist --type=hash:ip
firewall-cmd --reload
# ipset list
Name: blacklist_temp
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536 timeout 86400
Size in memory: 120
References: 0
Number of entries: 0
Members:
Name: blacklist
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 120
References: 0
Number of entries: 0
Members:
그런 다음 트래픽을 드롭 영역으로 리디렉션합니다.
firewall-cmd --zone=drop --add-source=ipset:blacklist_temp
firewall-cmd --zone=drop --add-source=ipset:blacklist
이제 문제가 발생합니다.
# firewall-cmd --ipset=blacklist --add-entry=1.2.3.4
success
# firewall-cmd --ipset=blacklist_temp --add-entry=5.6.7.8
success
# firewall-cmd --ipset=blacklist --remove-entry=1.2.3.4
success
# firewall-cmd --ipset=blacklist_temp --remove-entry=5.6.7.8
Warning: NOT_ENABLED: '5.6.7.8' not in 'blacklist_temp'
success
시간 초과로 인해 ipset에서 IP를 제거할 수 없습니다.
# ipset list
Name: blacklist_temp
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536 timeout 86400
Size in memory: 216
References: 0
Number of entries: 1
Members:
5.6.7.8 timeout 86376
Name: blacklist
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 120
References: 0
Number of entries: 0
Members:
Firewall-cmd를 사용하여 제거하는 방법에 대한 아이디어가 있습니까? 이것은 버그인가요?
답변1
뭐, 본문에 나와 있듯이공식 방화벽 문서,
시간 초과 옵션을 사용하여 ipset에 항목을 추가하는 것은 허용되지만 이러한 항목은 방화벽에서 추적되지 않습니다.
그게 내 질문에 대한 답인 것 같아요.