Батурин, Д. Ipset: упростим брандмауэр [Текст] : учебник : [управление брандмауэром с помощью ipset] / Даниил Батурин // Linux Format. — 2015. — № 2 (193), февр.. — С. 74-76. — (Учебник) (ipset). — Прил.: "IPv6 против IPv4" : [опции IPv6 и IPv4 в части перенаправлений, фильтрации и политик — аналогичные опции, опции-двойники; аналогично и аргументы ipset]. — С. 75.
Аннотация
Сложность политик брандмауэров возрастает и, если вы считаете, что сложность правил становится проблемой, одно из решений — ipset (http://ipset.netfilter.org). Ipset — расширение Netfilter, которое позволяет создавать списки адресов IPv4 и IPv6, сетей и портов TCP/UDP, и употреблять эти списки для полей source (адрес отправителя) и destination (адрес получателя) в настройках iptables или ip6tables.
Схема работы ipset на примере решения задачи администрирования с требованиями: разрешить SMTP, IMAP и POP3 из доверенных сетей 192.0.2.0/24и2001:db8::/64; разрешить SSH с узлов192.0.2.10, 192.0.2.15, 2001:db8::100, 2001:db8::105; разрешить соединения с порта 5000 узла 203.0.113.5, порта 5010 узла 203.0.113.10 и порта 5020 узла 203.0.113.42.