Wie viele Regeln kann iptables unterstützen?

12

Jemand hat mich das kürzlich gefragt und ich hatte keine Antwort darauf. Ich weiß, dass dies eine offene Frage ist, aber gibt es ein Limit für die Anzahl der Regeln, die Sie in einer Tabelle / Kette installieren können? Wenn ja, wie kann ich das herausfinden? Ich denke, es wird von Maschine zu Maschine unterschiedlich sein.

iptables Bruce
quelle
1
Versuchen Sie es mit einem forloop, bis Ihre Maschine abstürzt.
Lucas Kauffman
es hängt ganz von der Regelkomplexität ab. Sehen Sie sich meine Antwort von Jan Engelhardtund den gesamten verknüpften Thread an, wenn Sie weitere Details wünschen, einschließlich der Gründe, warum Änderungen nach dem Laden abstürzen können, wenn das anfängliche Laden einwandfrei funktioniert.
RS

Antworten:

11

Zitat aus Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
quelle
1
Das ist die Theorie, ich habe einige Artikel gelesen, in denen die Dinge in der Praxis ziemlich schnell nach Süden gehen, sobald sie über 25 km laufen
Lucas Kauffman,
5
Entscheidend ist, dass dies ausschließlich von der Regelkomplexität und der Speicherverfügbarkeit abhängt. Er weist darauf hin, können Sie eine Regel schreiben , die nicht passen und somit würde der max 0. FWIW sein, service iptables status | wc -lgibt mich 112373auf einem Feld I Admin. 64 Bit Centos 6 mit 96 Gigs RAM. Es ist kein Problem mehr Regeln hinzuzufügen oder sogar mit diesem Betrag neu zu laden.
RS
1
@kormoc: aus neugier: wofür macht diese box firewalling? Firewall Zeug ist nicht mein Job, aber über 100000 Regeln klingt massiv und ich möchte wissen :)
wzzrd
1
Einer der vorherigen Administratoren hat einen Brute-Force-Blocker eingerichtet, der eine iptable-Regel für alle ips hinzufügt, die dies versuchen. Wir haben ungefähr 6250 "schlechte" IPS, die 16 Ports, 8 TCP und 8 UDP blockieren. Ehrlich gesagt, wir sollten das Skript ändern, aber es hat keine Probleme verursacht, also bleibt es wie es ist und die Zahl steigt langsam an, während andere Hosts in den Besitz kommen und uns scannen.
RS
2
kormoc - Sie sollten besser auf fail2ban umsteigen. Es kann so konfiguriert werden, dass blockierte IP-Adressen im Laufe der Zeit entfernt werden. Seien wir ehrlich, das Scannen von 100000 Regelsätzen wird etwas langsam.
Matt
6

Laut linuxquestions.org unterstützt IPTables auf einem 32-Bit-Computer rund 25.000 Regeln. Wenn man darüber hinaus geht, insbesondere ab 27.000, fängt es an, schuppig zu werden.

Lucas Kauffman
quelle
Wie wäre es mit einem 64-Bit-Ubuntu 16.04LTS?
23.