iptables는 몇 개의 규칙을 지원할 수 있습니까?

누군가 최근에이 질문을했는데 답이 없었습니다. 나는 이것이 일종의 개방형 질문이라는 것을 알고 있지만 테이블 / 체인에 설치할 수있는 규칙의 수에 제한이 있습니까? 그렇다면 어떻게 알 수 있습니까? 기계마다 다를 것 같아요.

iptables

— 브루스
소스

컴퓨터가 충돌 할 때까지 forloop로 추가하십시오.

— Lucas Kauffman

그것은 전적으로 규칙의 복잡성에 달려 있습니다. Jan Engelhardt초기로드가 제대로 작동 할 때로드 후 수정이 충돌하는 이유를 포함하여 자세한 내용을 원하면 내 답변 과 내가 연결 한 전체 스레드를 참조하십시오.

— RS

답변:

에서 인용 Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

— RS
소스

의 이론 그건, 내가 실제로 일이 25K 이상 진행되면 매우 빠른 속도로 남쪽으로 가서 몇 가지 기사를 읽고

— 루카스 카우프만

요점은 규칙 복잡성과 메모리 가용성에 전적으로 달려 있다는 것입니다. 그가 지적했듯이, 맞지 않는 단일 규칙을 작성할 수 있으므로 최대 값은 0입니다. FWIW, 관리자 한 상자에 나 service iptables status | wc -l에게 제공합니다 112373. 램 96 기가있는 64 비트 센 토스 6 더 많은 규칙을 추가하거나 해당 금액으로 다시로드하는 데 아무런 문제가 없습니다.

— RS

@kormoc : 호기심 : 그 상자는 방화벽을 위해 무엇을합니까? 방화벽은 제 작업이 아니지만 100000 개가 넘는 규칙이 방대하게 들리고 알고 싶습니다.)

— wzzrd

이전 관리자 중 한 명이 시도하는 모든 IP에 대해 iptable 규칙을 추가하는 무차별 강제 차단기를 설정했습니다. 16 개의 포트, 8 tcp 및 8 udp를 차단하는 약 6250 개의 '나쁜'ip가 있습니다. 솔직히 우리는 스크립트를 변경해야하지만 아무런 문제도 발생하지 않았으므로 그대로 남아 있으며 다른 호스트가 소유하고 검색함에 따라 숫자가 느리게 증가합니다.

— RS

kormoc-fail2ban을 사용하도록 전환하는 것이 좋습니다. 시간이 지남에 따라 차단 된 IP를 제거하도록 구성 할 수 있습니다. 100000 개의 룰 세트를 스캔하는 것은 약간 느려질 것입니다.

— Matt

32 비트 머신에서 linuxquestions.org 에 따르면 IPTables는 약 25,000 개의 규칙을 지원할 것입니다. 그 이상으로, 특히 27,000에서, 상황이 벗겨지기 시작합니다.

— 루카스 카우프만
소스

64 비트 우분투 16.04LTS는 어떻습니까?

— 23r23f23q