Характеристика воздействия iptables

Обстоятельства заставляют нас открыть порт в Интернете, и мы хотим создать «белый список» диапазонов IP, которым разрешен доступ к этому порту. Я прототипировал решение, чтобы понять реализацию. Существует озабоченность по поводу воздействия большого белого списка (5000 диапазонов). Можно ли описать влияние такого набора правил на производительность? Как вы можете получить метрики из iptables?

One Solution collect form web for “Характеристика воздействия iptables”

Недавний Core cpu должен иметь возможность справиться с этим штрафом.

Однако по-прежнему не мешает увидеть, могут ли правила быть оптимизированы. Одна вещь, которая может помочь в зависимости от назначения IP-адресов, заключается в разделении правил на 8 частей:

iptables -N ourtable iptables -N ourtable-000 iptables -N ourtable-032 iptables -N ourtable-064 iptables -N ourtable-096 iptables -N ourtable-128 iptables -N ourtable-160 iptables -N ourtable-192 iptables -N ourtable-224 iptables -A INPUT -p tcp --dport 12345 -j ourtable iptables -A ourtable -s 0.0.0.0/3 -j ourtable-000 iptables -A ourtable -s 32.0.0.0/3 -j ourtable-032 iptables -A ourtable -s 64.0.0.0/3 -j ourtable-064 iptables -A ourtable -s 96.0.0.0/3 -j ourtable-096 iptables -A ourtable -s 128.0.0.0/3 -j ourtable-128 iptables -A ourtable -s 160.0.0.0/3 -j ourtable-160 iptables -A ourtable -s 192.0.0.0/3 -j ourtable-192 iptables -A ourtable -s 224.0.0.0/3 -j ourtable-224 iptables -A ourtable-000 -s 1.2.3.4 -j ACCEPT ... iptables -A ourtable-000 -j DROP iptables -A ourtable-032 -s 32.1.2.3 -j ACCEPT ... iptables -A ourtable-032 -j DROP # etc... 

Таким образом, пакет будет проверен против 625 правил вместо 5000 (предполагая, конечно, равномерное распределение адресов, что, вероятно, не так, вы можете настроить расщепление всего адресного пространства соответственно).

Я также предполагаю, что у вас уже есть подсети в вашем списке (т. Е. Если вам нужно разрешить 172.18.0.0 до 172.18.0.7, вы замените это на 172.18.0.0/29). Если нет, проверьте такие диапазоны. В Debian я использую утилиту netmask чтобы увидеть, что покрывает данная маска сети:

 $ $ netmask -r 172.18.0.0/29 172.18.0.0-172.18.0.7 (8) 
  • какой процесс прослушивает данный порт
  • Нужно ли мне менять IP-пакеты, или я могу добавить / удалить на лету?
  • iptables: немедленно отказаться от блокировки определенного домена от посещения браузером
  • Маршрутизация через iptables
  • Перенаправление портов между государственным и частным интерфейсами
  • Трудности настройки iptables
  • rtorrent: «Таймер таймера», вызванный IPtables
  • Как посмотреть, какие порты открыты на определенном брандмауэре
  • Отмена определенного ограничения ip / port iptables
  • Создание NAT из loopback на удаленный сервер
  • Как отключить доступ к сети для пользователя?
  • iCloud перестает работать при подключении к OpenVPN
  • Interesting Posts

    разрешение на запись в папку

    Проблема с резервным копированием и общей памятью

    dmesg заполняется аудитами каждую минуту от cron

    Как установить Unison 2.40 на Ubuntu 16.04 xenial (для устранения «Неустранимая ошибка: получен неожиданный заголовок»)

    csh array / command substitution с gnu parallel

    Подсчитывать строки с разными символами

    Очистка эксплойтов PHP от зараженных файлов с помощью sed

    Безопасно ли использовать & и перенаправление вывода вместо nohup?

    Как настроить Linux для того, чтобы не требовать sudo для определенных команд для определенных пользователей?

    VGEXTEND: Как избежать очистки подкачки в / dev / sda3?

    Карта ТВ-тюнера Hauppauge с Motorola STB и LIRC

    scp / path / to / local / file myusername@server.com создает новый файл в локальном каталоге?

    Linux netconsole с мостовым интерфейсом

    создание моего собственного initrd, как заполнить каталог dev

    Можно ли изменить файл базы данных паролей (/ etc / passwd) в Linux?

    Linux и Unix - лучшая ОС в мире.