İptables kaç kuralı destekleyebilir?

13

Birisi bana son zamanlarda bunu sordu ve bunun için hiçbir cevabım yoktu. Bunun açık uçlu bir soru olduğunu biliyorum ama bir tabloya / zincire kurabileceğiniz kuralların sayısında bir sınır var mı? Varsa, nasıl öğrenebilirim? Sanırım makineler arasında değişiklik gösterecek.

iptables 
Bruce
kaynak
1
makineniz çökene kadar forloop eklemeyi deneyin.
Lucas Kauffman
tamamen kural karmaşıklığına bağlıdır. Jan Engelhardtİlk yük iyi çalıştığında yükten sonraki değişikliklerin neden çökebileceği de dahil olmak üzere daha fazla ayrıntı istiyorsanız yanıtımı ve bağladığım tüm iş parçacığını görün .
RS

Yanıtlar:

12

Alıntı yapmak Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
kaynak
1
Bu teori, pratikte işler 25k'ın üzerine çıktığında oldukça hızlı bir şekilde güneye giden bazı makaleler okudum
Lucas Kauffman
6
Mesele, tamamen kural karmaşıklığına ve bellek kullanılabilirliğine bağlıdır. Belirttiği gibi, uymayan tek bir kural yazabilirsiniz ve böylece maksimum 0 olur. FWIW, service iptables status | wc -lbana 112373yönetici olduğum bir kutuya verir . 96 bit koç ile 64 bit centos 6. Daha fazla kural eklemek veya bu tutarla yeniden yüklemekte sorun yok.
RS
1
@kormoc: meraktan: bu kutu güvenlik duvarı için ne yapıyor? Güvenlik duvarı şeyler benim dayjob değil, ama 100000'den fazla kural kulağa büyük geliyor ve bilmek istiyorum :)
wzzrd
1
Önceki yöneticilerden biri, deneyen herhangi bir ips için iptable kuralı ekleyen bir kaba kuvvet engelleyici kurdu. 16 port, 8 tcp ve 8 udp'yi engelleyen yaklaşık 6250 'kötü' ips var. Dürüst olmak gerekirse, senaryoyu değiştirmeliyiz, ancak herhangi bir soruna neden olmadı, bu yüzden olduğu gibi bırakıldı ve diğer bazı ev sahiplerinin sahibi olduğu ve bizi taradığı için sayı yavaşça sürünüyor.
RS
2
kormoc - fail2ban kullanmaya geçmek daha iyi olabilir. Zaman içinde engellenen ipleri kaldıracak şekilde yapılandırılabilir. Kabul edelim, 100000 kural kümelerini taramak biraz yavaş olacak.
Matt
7

Göre LinuxQuestions.org , 32 bitlik bir makine üzerinde, IPTables yaklaşık 25.000 kuralları destekleyecektir. Bunun ötesine geçerek, özellikle 27.000'den sonra, işler kesiliyor.

Lucas Kauffman
kaynak
64-bit Ubuntu 16.04LTS'ye ne dersiniz?
23r23f23q
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.