Berapa banyak aturan yang dapat didukung iptables?

12

Seseorang bertanya kepada saya baru-baru ini dan saya tidak punya jawaban untuk itu. Saya tahu ini adalah jenis pertanyaan terbuka tetapi apakah ada batasan pada jumlah aturan yang dapat Anda pasang di tabel / rantai? Jika demikian, bagaimana saya bisa mengetahuinya? Saya kira ini akan bervariasi di setiap mesin.

iptables Bruce
sumber
1
coba tambahkan dengan forloop hingga mesin Anda mogok.
Lucas Kauffman
sepenuhnya tergantung pada kompleksitas aturan. Lihat jawaban saya dari Jan Engelhardtdan seluruh utas yang saya tautkan jika Anda menginginkan detail lebih lanjut, termasuk mengapa modifikasi setelah memuat dapat macet saat beban awal berfungsi dengan baik.
RS

Jawaban:

11

Kutipan dari Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
sumber
1
Itu teori, saya membaca beberapa artikel yang dalam praktiknya berjalan ke selatan dengan cepat sekali melebihi 25k
Lucas Kauffman
5
Intinya itu sepenuhnya tergantung pada kompleksitas aturan dan ketersediaan memori. Saat ia menunjukkan, Anda dapat menulis aturan tunggal yang tidak cocok dan dengan demikian maks akan menjadi 0. FWIW, service iptables status | wc -lmemberi saya 112373pada satu kotak saya admin. 64 bit centos 6 dengan 96 gigs ram. Tidak ada masalah menambahkan lebih banyak aturan atau bahkan memuat ulang dengan jumlah itu.
RS
1
@ kormoc: penasaran: untuk apa kotak itu melakukan firewall? Firewall bukan pekerjaan sehari-hari saya, tetapi lebih dari 100.000 aturan terdengar sangat besar dan saya ingin tahu :)
wzzrd
1
Salah satu admin sebelumnya menyiapkan pemblokir kekuatan kasar yang menambahkan aturan iptable untuk salah satu ips yang mencoba. Kami memiliki sekitar 6250 ips 'buruk' yang memblokir 16 port, 8 tcp dan 8 udp. Sejujurnya, kita harus mengubah skrip, tetapi tidak menyebabkan masalah, jadi itu dibiarkan apa adanya dan jumlahnya perlahan merayap ketika beberapa host lain dimiliki dan memindai kita.
RS
2
kormoc - Anda mungkin lebih baik beralih menggunakan fail2ban. Itu dapat dikonfigurasi untuk menghapus ip diblokir dari waktu ke waktu. Mari kita hadapi itu, memindai 100000 set aturan akan menjadi agak lambat.
Matt
6

Menurut linuxquestions.org , pada mesin 32-bit, IPTables akan mendukung sekitar 25.000 aturan. Melampaui itu, terutama dari 27.000, segalanya mulai menjadi serpihan.

Lucas Kauffman
sumber
bagaimana dengan Ubuntu 16.04LTS 64-bit?
23r23f23q