Quante regole può supportare iptables?

12

Qualcuno me l'ha chiesto di recente e non ho avuto risposta. So che questa è una specie di domanda a risposta aperta, ma esiste un limite al numero di regole che è possibile installare in una tabella / catena? In tal caso, come posso scoprirlo? Immagino che varierà tra le macchine.

iptables 
Bruce
fonte
1
prova ad aggiungere con un forloop fino a quando il tuo computer si arresta in modo anomalo.
Lucas Kauffman,
dipende interamente dalla complessità della regola. Vedi la mia risposta Jan Engelhardte l'intero thread che ho collegato se vuoi maggiori dettagli, incluso il motivo per cui le modifiche dopo il caricamento possono andare in crash quando il caricamento iniziale funziona correttamente.
RS

Risposte:

11

Citazione da Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
fonte
1
Questa è la teoria, ho letto alcuni articoli che in pratica le cose vanno a sud abbastanza rapidamente una volta superando i 25k
Lucas Kauffman,
5
Il punto è che dipende interamente dalla complessità della regola e dalla disponibilità della memoria. Come sottolinea, puoi scrivere una singola regola che non si adatta e quindi il massimo sarebbe 0. FWIW, service iptables status | wc -lmi dà 112373su una casella I admin. 64 bit centos 6 con 96 concerti di ariete. Non ci sono problemi ad aggiungere più regole o addirittura ricaricare con tale importo.
RS
1
@kormoc: per curiosità: a cosa serve il firewall? La roba del firewall non è la mia sega, ma oltre 100000 regole sembrano enormi e voglio saperlo :)
wzzrd,
1
Uno dei precedenti amministratori ha installato un blocco della forza bruta che aggiunge una regola iptable per qualsiasi IP che tenta. Abbiamo circa 6250 ips 'cattivi' che bloccano 16 porte, 8 tcp e 8 udp. Onestamente, dovremmo cambiare la sceneggiatura, ma non ha causato alcun problema, quindi rimane così com'è e il numero aumenta lentamente man mano che altri host diventano proprietari e ci scansionano.
RS
2
kormoc - potresti essere meglio passare all'utilizzo di fail2ban. Può essere configurato per rimuovere nel tempo gli IP bloccati. Ammettiamolo, la scansione di 100000 set di regole sarà un po 'lenta.
Matt,
6

Secondo linuxquestions.org , su una macchina a 32 bit, IPTables supporterà circa 25.000 regole. Andando oltre, soprattutto da 27.000, le cose iniziano a diventare traballanti.

Lucas Kauffman
fonte
che ne dici di un Ubuntu 16.04LTS a 64 bit?
23r23f23q,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.