Iptables có thể hỗ trợ bao nhiêu quy tắc?

12

Có người hỏi tôi điều này gần đây và tôi không có câu trả lời cho nó. Tôi biết đây là một câu hỏi mở nhưng có giới hạn nào đối với các quy tắc bạn có thể cài đặt trong một bảng / chuỗi không? Nếu vậy, làm thế nào tôi có thể tìm ra nó? Tôi đoán nó sẽ thay đổi trên các máy.

iptables 
Bruce
nguồn
1
hãy thử thêm với một forloop cho đến khi máy của bạn gặp sự cố.
Lucas Kauffman
nó hoàn toàn phụ thuộc vào sự phức tạp của quy tắc. Xem câu trả lời của tôi từ Jan Engelhardtvà toàn bộ chuỗi mà tôi đã liên kết nếu bạn muốn biết thêm chi tiết, bao gồm cả lý do tại sao sửa đổi sau khi tải có thể bị sập khi tải ban đầu hoạt động tốt.
RS

Câu trả lời:

11

Trích dẫn từ Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
nguồn
1
Đó là lý thuyết, tôi đã đọc một số bài báo rằng trong thực tế mọi thứ đi về phía nam khá nhanh khi đã vượt quá 25k
Lucas Kauffman
5
Vấn đề là nó hoàn toàn phụ thuộc vào độ phức tạp của quy tắc và bộ nhớ sẵn có. Như ông chỉ ra, bạn có thể viết một quy tắc duy nhất không phù hợp và do đó tối đa sẽ là 0. FWIW, service iptables status | wc -lđưa tôi 112373vào một hộp tôi quản trị. 64 bit centos 6 với 96 hợp đồng ram. Không có vấn đề gì khi thêm nhiều quy tắc hoặc thậm chí tải lại với số tiền đó.
RS
1
@kormoc: vì tò mò: cái hộp đó làm tường lửa để làm gì? Tường lửa không phải là công việc hàng ngày của tôi, nhưng hơn 100000 quy tắc nghe có vẻ lớn và tôi muốn biết :)
wzzrd
1
Một trong những quản trị viên trước đó thiết lập một trình chặn sức mạnh vũ phu có thêm quy tắc iptable cho bất kỳ ips nào cố gắng. Chúng tôi có khoảng 6250 ips 'xấu' chặn 16 cổng, 8 tcp và 8 udp. Thành thật mà nói, chúng ta nên thay đổi tập lệnh, nhưng nó không gây ra bất kỳ vấn đề nào, vì vậy nó vẫn còn nguyên và con số từ từ tăng lên khi một số máy chủ khác được sở hữu và quét chúng tôi.
RS
2
kormoc - bạn có thể tốt hơn nên chuyển sang sử dụng fail2ban. Nó có thể được cấu hình để loại bỏ ip bị chặn theo thời gian. Hãy đối mặt với nó, quét 100000 bộ quy tắc sẽ hơi chậm.
Matt
6

Theo linuxquestions.org , trên máy 32 bit, IPTables sẽ hỗ trợ khoảng 25.000 quy tắc. Vượt ra ngoài, đặc biệt là từ 27.000, mọi thứ bắt đầu trở nên tồi tệ.

Lucas Kauffman
nguồn
Ubuntu 16.04LTS 64 bit thì sao?
23r23f23q
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.