Ile reguł może obsługiwać iptables?

13

Ktoś ostatnio mnie o to zapytał i nie miałem na to odpowiedzi. Wiem, że jest to pytanie otwarte, ale czy istnieje ograniczenie liczby reguł, które można zainstalować w tabeli / łańcuchu? Jeśli tak, jak mogę się tego dowiedzieć? Myślę, że będzie się różnić w zależności od komputera.

iptables Bruce
źródło
1
spróbuj dodać za pomocą forloop, aż komputer się zawiesi.
Lucas Kauffman
to całkowicie zależy od złożoności reguły. Zobacz moją odpowiedź Jan Engelhardti cały wątek, który podłączyłem, jeśli chcesz więcej szczegółów, w tym dlaczego modyfikacje po załadowaniu mogą ulec awarii, gdy początkowe ładowanie działa poprawnie.
RS

Odpowiedzi:

12

Cytat z Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
źródło
1
To teoria, czytam kilka artykułów, które w praktyce rzeczy idą dość szybko na południe, gdy przekraczają 25 tys.
Lucas Kauffman
6
Chodzi o to, że całkowicie zależy to od złożoności reguły i dostępności pamięci. Jak zauważył, możesz napisać jedną regułę, która nie będzie pasować, a zatem maksimum wyniesie 0. FWIW, service iptables status | wc -ldaje mi 112373jedno pole, którym administruję. 64-bitowe centos 6 z 96 koncertami pamięci ram. Nie ma problemów z dodawaniem kolejnych reguł, a nawet przeładowywaniem tej kwoty.
RS
1
@kormoc: z ciekawości: do czego służy to zapora ogniowa? Zapora ogniowa nie jest moją pracą, ale ponad 100 000 zasad brzmi masowo i chcę wiedzieć :)
wzzrd
1
Jeden z poprzednich administratorów skonfigurował blokadę brutalnej siły, która dodaje regułę iptable dla każdego próbującego tego systemu. Mamy około 6250 „złych” ips blokujących 16 portów, 8 tcp i 8 udp. Szczerze mówiąc, powinniśmy zmienić skrypt, ale to nie spowodowało żadnych problemów, więc zostało tak, jak jest, a liczba powoli rośnie, gdy inne hosty stają się własnością i skanują nas.
RS
2
kormoc - być może lepiej będzie przejść na korzystanie z fail2ban. Można go skonfigurować do usuwania zablokowanych adresów IP w miarę upływu czasu. Spójrzmy prawdzie w oczy, skanowanie 100000 zestawów reguł będzie trochę powolne.
Matt
7

Według linuxquestions.org na 32-bitowej maszynie IPTables będzie obsługiwać około 25 000 reguł. Wychodząc poza to, zwłaszcza z 27 000, sprawy zaczynają się łuszczyć.

Lucas Kauffman
źródło
co powiesz na 64-bitowy Ubuntu 16.04LTS?
23r23f23q