сколько правил iptables или одной цепочки поддержки

0

У меня есть несколько пользователей (около 800 пользователей), я разрабатываю брандмауэр IPTABLES для фильтрации на основе MAC-адресов. Мой вопрос: КАК МНОГИЕ ПРАВИЛА МОГУТ ДОБАВИТЬСЯ В ОДИНОЧНУЮ ЦЕПЬ, И КАК МНОГИЕ ПРАВИЛА МОГУТ ОБРАЩАТЬСЯ В ВЕРСИИ IPTABLES 1.3.5 фильтр?

Мой senario выглядит следующим образом: Прокси-машина Linux Centos Gateway с 2 сетевыми картами (1LAN 1WAN) (Прокси-сервер обрабатывает только порт 80. iptables version 1.3.5 Мои правила фильтрации iptables выглядят следующим образом.

INPUT (Отбрасывание) нескольких правил для принятия полезных портов. Вход из / для Интернета и из / для локальной сети.

FORWARD (отбрасывание) Несколько простых правил для пересылки статических IP-адресов пользователей (user1, user2, user3) по приоритету из локальной сети в Интернет. Несколько простых правил для пересылки статических IP-адресов пользователей (user1, user2, user3) по приоритету из Интернета в локальную сеть. Все остальные пользователи (user4, user5, user6 .....) запрашивают IP-адреса для Интернета и переходят в цепочку ALLMAC для проверки привязки IP / MAC-адресов. все остальные пользователи (user4, user5, user6 .....), отвечающие на запросы IP-адресов из Интернета, переходят в цепочку ALLMAC для проверки IP-адресов.

Источник цепочки ALLMAC - это IP пользователя user4, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.1 -m mac --mac-source 00: 01: 02: 03: 04: 05: 06 -j ПРИНЯТЬ) -j ПРИНЯТЬ (iptables -t фильтр ALLMAC -d 192.168.1.1 -j ПРИНЯТЬ)

источником является IP пользователя user5, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.2 -m mac --mac-source 00: 01: 02: 03: 04: 05: 06 -j ПРИНЯТЬ) целевой пользователь5 IP -j ПРИНЯТЬ (iptables -t filter ALLMAC -d 192.168.1.2 -j ПРИНЯТЬ)

источником является IP пользователя user6, имеющий следующий MAC-адрес ПРИНЯТЬ (iptables -t фильтр ALLMAC -s 192.168.1.3 -m mac --mac-source 00: 01: 02: 03: 04: 05: 06 -j ПРИНЯТЬ) целевой пользователь6 IP -j ПРИНЯТЬ (iptables -t filter ALLMAC -d 192.168.1.3 -j ПРИНЯТЬ)

(хочу добавить около 800 пользователей, как описано выше в цепочках ALLMAC), все остальные, не перечисленные DROP (конец цепочки ALLMAC)

OUTPUT (Drop) - несколько правил для приема полезных портов. Выход из / для интернета и из / для локальной сети. ?

Пожалуйста, помогите мне в этом простом сценарии. и направьте меня, это хороший подход для ограничения пользователей по их IP-адресам и блокирования незарегистрированных пользователей.

Заранее спасибо. Ризван.

Rizwan.A
источник
1
Похоже, вы должны использовать -m set --match-set user_bindings src,src(с растровым изображением: ip, Mac ipset) вместо ...
grawity
Просто для ответа на оригинальный вопрос - маршрутизаторы MikroTik основаны на iptables для брандмауэра и когда интернет-провайдеры отфильтровывают распространенных червей / вирусов и т. Д. На граничных маршрутизаторах обычно есть несколько сотен правил. Высокие сотни, как 600+ правил. И он работает прилично на некотором дерьме, таком как 400-мегапиксельная MIPS, поэтому я предполагаю, что фактический предел, при котором производительность будет заметна, будет довольно высоким
Lapsio