iptablesはいくつのルールをサポートできますか?

12

誰かが最近これを私に尋ねました、そして、私はそれに対する答えがありませんでした。これは一種の自由回答形式の質問ですが、テーブル/チェーンにインストールできるルールの数に制限はありますか?もしそうなら、どうすればそれを見つけることができますか?マシンによって異なると思います。

iptables 
ブルース
ソース
1
マシンがクラッシュするまでforloopで追加してみてください。
ルーカスカウフマン
ルールの複雑さに完全に依存します。Jan Engelhardt最初のロードが正常に機能するときにロード後の変更がクラッシュする理由など、詳細が必要な場合は、私の回答とリンクしたスレッド全体を参照してください。
-RS

回答:

11

からの引用 Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
ソース
1
理論ことを、私は実際に物事が25K乗り越えたら、かなり急速に南に行くことをいくつかの記事を読む
ルーカスカウフマン
5
ポイントは、ルールの複雑さとメモリの可用性に完全に依存するということです。彼が指摘するように、あなたがFWIWに収まらないので、最大は0になり、単一のルールを記述することができ、service iptables status | wc -l私を与える112373ワンボックスIの管理者に。64ギガバイトのRAMを備えた64ビットセントス6。さらにルールを追加したり、その量でリロードしたりしても問題はありません。
RS
1
@kormoc:好奇心から:そのボックスはファイアウォールのために何をしますか?:)ファイアウォールものは私のdayjobではありませんが、100000以上のルールは、大規模な音や私が知りたい
wzzrd
1
以前の管理者の1人が、ブルートフォースブロッカーを設定して、試行するipのいずれかにiptableルールを追加しました。16個のポート、8個のtcp、8個のudpをブロックする約6250個の「不良」IPがあります。正直なところ、スクリプトを変更する必要がありますが、問題は発生していないので、そのままにしておき、他のホストが所有してスキャンしていくにつれて、数字が徐々に増えていきます。
RS
2
kormoc-fail2banの使用に切り替える方が良いかもしれません。時間の経過とともにブロックされたIPを削除するように構成できます。率直に言って、100000ルールセットのスキャンは少し遅くなります。
マット
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.