Скільки правил може підтримувати iptables?

Хтось запитав мене це нещодавно, і я не мав на це відповіді. Я знаю, що це своєрідне запитання, але чи існує обмеження щодо кількості правил, які ви можете встановити в таблиці / ланцюжку? Якщо так, то як я можу це дізнатись? Я думаю, це буде різнитися в різних машинах.

iptables

— Брюс
джерело

спробуйте додати за допомогою forloop, поки ваша машина не вийде з ладу.

— Лукас Кауффман

це повністю залежить від складності правила. Дивіться мою відповідь Jan Engelhardtта всю нитку, яку я пов’язав, якщо ви хочете отримати більше деталей, зокрема, чому зміни після завантаження можуть вийти з ладу, коли початкове завантаження справно працює.

— РС

Відповіді:

Цитата від Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

— RS
джерело

Це теорія, я читав деякі статті, що на практиці справи йдуть на південь досить швидко, переходячи 25 к.

— Лукас Кауффман,

Справа в тому, що це повністю залежить від складності правила та наявності пам'яті. Як він вказує, ви можете написати єдине правило, яке не підходить, і, таким чином, максимум було б 0. FWIW, service iptables status | wc -lдає мені 112373на одне поле, яке я адмініструю. 64 бітові центоси 6 з 96 гігами барана. Немає проблем із додаванням більше правил або навіть перезавантаженням цією сумою.

— РС

@kormoc: з цікавості: для чого це поле робить брандмауер? Речі з брандмауера - це не моя щоденна робота, але понад 100000 правил звучить масово, і я хочу знати :)

— wzzrd

Один з попередніх адміністраторів встановив блокатор грубої сили, який додає правило iptable для будь-якого із спроб ips. У нас близько 6250 'поганих' ips, що блокують 16 портів, 8 тс і 8 удп. Чесно кажучи, ми повинні змінити сценарій, але це не спричинило жодних проблем, тому воно залишається таким, як є, і кількість повільно повстає, коли деякі інші хости отримують право власності і сканують нас.

— РС

kormoc - можливо, вам буде краще перейти на використання fail2ban. Він може бути налаштований для видалення заблокованих ip з часом. Поміркуймо, сканування наборів правил 100000 буде трохи повільним.

— Метт

За інформацією linuxquestions.org , на 32-розрядній машині IPTables підтримуватиме близько 25 000 правил. Якщо вийти за рамки цього, особливо з 27 000, речі починають пластівцями.

— Лукас Кауффман
джерело

як щодо 64-розрядного Ubuntu 16.04LTS?

— 23r23f23q