Сколько правил может поддерживать iptables?

12

Кто-то недавно спросил меня об этом, и у меня не было ответа на это. Я знаю, что это своего рода открытый вопрос, но есть ли ограничения на количество правил, которые вы можете установить в таблице / цепочке? Если так, как я могу это выяснить? Я думаю, это будет зависеть от машин.

Брюс
источник
1
попробуйте добавить с forloop, пока ваша машина не выйдет из строя.
Лукас Кауфман
это полностью зависит от сложности правила. Посмотрите мой ответ Jan Engelhardtи весь поток, на который я ссылаюсь, если вам нужно больше подробностей, в том числе, почему изменения после загрузки могут дать сбой, когда начальная загрузка работает нормально.
RS

Ответы:

11

Цитата из Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
источник
1
Это теория, я читал некоторые статьи, которые на практике довольно быстро продвигаются на юг, преодолев 25 тыс.
Лукас Кауфман
5
Дело в том, что это полностью зависит от сложности правила и доступности памяти. Как он указывает, вы можете написать одно правило, которое не будет соответствовать, и, следовательно, максимум будет 0. FWIW, service iptables status | wc -lдает мне 112373на одну коробку, я администратор. 64-битный сентос 6 с 96 гигабайтами оперативной памяти. Там нет проблем, добавив больше правил или даже перезагрузить с этой суммой.
RS
1
@kormoc: из любопытства: для чего эта коробка делает брандмауэр? Работа с брандмауэром - это не мое занятие, но более 100000 правил звучат громадно, и я хочу знать :)
wzzrd
1
Один из предыдущих администраторов установил блокировщик перебором, который добавляет правило iptable для любого из ips, которые пытаются. У нас около 6250 «плохих» ips, блокирующих 16 портов, 8 tcp и 8 udp. Честно говоря, мы должны изменить сценарий, но он не вызвал каких-либо проблем, поэтому он оставлен как есть, и число медленно увеличивается, поскольку некоторые другие хосты становятся собственниками и сканируют нас.
RS
2
kormoc - вам лучше перейти на использование fail2ban. Это может быть настроено для удаления заблокированных IP-адресов с течением времени. Посмотрим правде в глаза, сканирование 100000 наборов правил будет немного медленным.
Мэтт
6

Согласно linuxquestions.org , на 32-битной машине IPTables будет поддерживать около 25 000 правил. Выходя за рамки этого, особенно с 27 000, все начинает ухудшаться.

Лукас Кауфман
источник
как насчет 64-битной Ubuntu 16.04LTS?
23r23f23q