Для начала необходимо создать ipset с именем netban:
firewall-cmd --permanent --new-ipset=netban --type=hash:net --option=maxelem=1000000 --option=family=inet --option=hashsize=4096
Добавить его в drop зону:
firewall-cmd --permanent --zone=drop --add-source=ipset:netban
Применить настройки:
firewall-cmd --reload
Добавление элементов в бан-лист
Все просто, для добавление подсети, указываем подсеть:
firewall-cmd --permanent --ipset=netban --add-entry=xxx.xxx.xx.x/24
Для единичного IP адреса использовать /32:
firewall-cmd --ipset=netban --add-entry=xxx.xxx.xx.x/32
Можно загрузить список IP адресов из готового листа:
firewall-cmd --permanent --ipset=netban --add-entries-from-file=/path/to/blocklist.txt
Применить настройки:
firewall-cmd --reload
Просмотр ipset
Можно посмотреть список элементов добавленных в ipset:
ipset list netban
Удаление элементов с бан-листа
firewall-cmd --permanent --ipset=netban --remove-entry=x.x.x.x/24
Источник: https://sys-adm.in/systadm/898-centos-fedora-ban-ip-adresov-pri-pomoshchi-ipset-firewalld.html |