Как реализовать проверку IP-адреса на принадлежность к списку заблокированных подсетей?

Question

IP-адрес проверяют, применяя маску подсети и сравнивая сетевую часть адреса с сетевым префиксом. Обычно список подсетей хранится в виде CIDR, например 192.168.1.0/24. При проверке IP переводят в число, применяют маску и сравнивают результат. Такой подход используется в firewall, прокси и системах авторизации.

YeaHub · Accepted Answer

Проверка принадлежности IP подсети основана на работе сетевой маски.Основной принципОпределение:IP принадлежит подсети, если после применения маски его сетевая часть совпадает с сетевой частью подсети.Формально:(ip & mask) == network
ПримерПодсеть:192.168.1.0/24
IP:192.168.1.42
После применения маски 255.255.255.0 обе сетевые части совпадут.Как это реализуется в коде (упрощенно, Go)ip := net.ParseIP("192.168.1.42")
_, subnet, _ := net.ParseCIDR("192.168.1.0/24")

if subnet.Contains(ip) {
    // IP находится в подсети
}
В реальных системах:список подсетей загружается в памятьвыполняется проверка по каждой подсетипри совпадении IP блокируетсяКак оптимизируютПри большом количестве подсетей:используют префиксные деревьясортируют диапазоныиспользуют специализированные структурыГде применяетсяТакой механизм используется:firewallAPI gatewayантифрод-системыВыводПроверка IP на принадлежность подсети основана на побитовом сравнении с маской и широко используется в сетевой фильтрации.