netfilter: ipset与iptable最近的模块

Question

iptables recent模块和ipset之间的实际区别是什么？

我知道最近的模块只允许I，而ipset则允许子网。但除此之外，主要的实际区别是什么？是表演吗？我该用哪一种？

Answer 1

iptables recent模块用于跟踪符合某些条件的数据包，如源IP地址和端口，并将它们添加到列表中。一旦数据包与标准匹配，就可以标记、记录或删除数据包。此模块通常用于实现限制速率或限制来自特定IP地址的连接或请求数量的防火墙规则。

另一方面，ipset工具用于管理大量的IP地址或其他网络对象，如网络范围、MAC地址和端口。这些集合可以被其他工具使用，如iptables或tc (流量控制)，以将策略应用于符合集合标准的数据包。ipset提供了比recent模块更高级的特性，比如创建从网络源(如DNS或HTTP )动态更新的集合的能力。

就性能而言，在某些情况下，ipset可以比recent模块更快，特别是在处理大量IP地址时。这是因为ipset使用哈希表来存储IP地址，这允许高效的查找和更新。

然而，这两个工具之间的性能差异对于小规模的IP地址或基本的速率限制或防火墙规则来说可能并不显著。此外，选择使用哪种工具最终取决于具体的用例和需求。

如果需要管理大量IP地址或其他网络对象，或者需要基于外部源动态更新集，则ipset可能是更好的选择。另一方面，如果您只需要跟踪和限制来自特定IP地址或端口的通信量，recent模块可能就足够了。

FYI recent使用链表。

参考：

https://linux.die.net/man/8/ipset

https://linux.die.net/man/8/iptables