iptables รองรับกฎได้กี่กฎ

13

มีคนถามฉันเมื่อเร็ว ๆ นี้และฉันก็ไม่ได้รับคำตอบ ฉันรู้ว่านี่เป็นคำถามปลายเปิด แต่มีข้อ จำกัด เรื่องจำนวนกฎที่คุณสามารถติดตั้งในตาราง / ลูกโซ่ได้หรือไม่? ถ้าเป็นเช่นนั้นฉันจะรู้ได้อย่างไร ฉันเดาว่ามันจะแตกต่างกันในเครื่อง

iptables 
บรูซ
แหล่งที่มา
1
ลองเพิ่มด้วย forloop จนกว่าเครื่องของคุณจะล่ม
Lucas Kauffman
มันขึ้นอยู่กับความซับซ้อนของกฎ ดูคำตอบของฉันจากJan Engelhardtและเธรดทั้งหมดที่ฉันเชื่อมโยงหากคุณต้องการรายละเอียดเพิ่มเติมรวมถึงสาเหตุที่การปรับเปลี่ยนหลังจากโหลดอาจมีปัญหาเมื่อโหลดเริ่มต้นทำงานได้ดี
RS

คำตอบ:

12

ขอบคุณจาก Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

อาร์เอส
แหล่งที่มา
1
นั่นเป็นทฤษฎีที่ฉันอ่านบทความบางอย่างที่ในทางปฏิบัติสิ่งต่าง ๆ ไปทางทิศใต้อย่างรวดเร็วเมื่อไปกว่า 25k
ลูคัสคอฟฟ์แมน
6
ประเด็นก็คือมันทั้งหมดขึ้นอยู่กับความซับซ้อนของกฎและความพร้อมหน่วยความจำ ในขณะที่เขาชี้ให้เห็นคุณสามารถเขียนกฎเดียวที่ไม่เหมาะสมและดังนั้นสูงสุดจะเป็น 0 FWIW service iptables status | wc -lให้ฉัน112373ในกล่องเดียวที่ฉันดูแล 64 bit centos 6 พร้อม 96 กิ๊กส์ ram ไม่มีปัญหาในการเพิ่มกฎเพิ่มเติมหรือแม้แต่โหลดซ้ำกับจำนวนนั้น
RS
1
@kormoc: ออกมาจากความอยากรู้: สิ่งที่ทำสิ่งที่ไฟร์วอลล์ทำเพื่อ? สิ่งที่ไฟร์วอลล์ไม่ dayjob ของฉัน แต่กว่า 100000 กฎเสียงขนาดใหญ่และฉันต้องการทราบ :)
wzzrd
1
หนึ่งในผู้ดูแลระบบก่อนหน้านี้ตั้งค่า brute force blocker ที่เพิ่มกฎ iptable สำหรับ ips ใด ๆ ที่พยายาม เรามี ips ประมาณ 6250 จุดที่ไม่ดีปิดกั้น 16 พอร์ต 8 tcp และ 8 udp สุจริตเราควรเปลี่ยนสคริปต์ แต่มันก็ไม่ได้ทำให้เกิดปัญหาใด ๆ ดังนั้นจึงเหลือตามที่เป็นอยู่และจำนวนช้าลงเรื่อย ๆ เมื่อโฮสต์อื่น ๆ ได้เป็นเจ้าของและสแกนเรา
RS
2
kormoc - คุณอาจจะดีกว่าที่จะสลับไปใช้ fail2ban สามารถกำหนดค่าให้ลบไอพีที่ถูกบล็อกเมื่อเวลาผ่านไป มาดูกันการสแกนชุดกฎ 100000 จะช้าไปหน่อย
แมตต์
7

ตามlinuxquestions.orgบนเครื่อง 32 บิต IPTables จะรองรับกฎประมาณ 25,000 กฎ นอกเหนือไปจากนั้นโดยเฉพาะอย่างยิ่งจาก 27,000 สิ่งต่าง ๆ เริ่มที่จะเป็นขุย

ลูคัสคอฟฟ์แมน
แหล่งที่มา
Ubuntu 16.04LTS แบบ 64 บิตเป็นอย่างไร?
23r23f23q
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.