Характеристика воздействия iptables

Обстоятельства заставляют нас открыть порт в Интернете, и мы хотим создать «белый список» диапазонов IP, которым разрешен доступ к этому порту. Я прототипировал решение, чтобы понять реализацию. Существует озабоченность по поводу воздействия большого белого списка (5000 диапазонов). Можно ли описать влияние такого набора правил на производительность? Как вы можете получить метрики из iptables?

  • Какой инструмент выполнить команду для повторных записей в системном журнале?
  • не может telnet подключиться к серверу
  • Как маршрутизировать трафик через разные прокси-серверы на основе назначения
  • Какой порядок правил iptables используется для конкретных IP-адресов SRC?
  • Какие порты я должен открыть для apt-get для работы?
  • Как заблокировать весь запрос как ServerIP: порт iptables
  • iptables не перечисляет правила, которые я создал
  • Как блокировать эхо-запросы icmp из подсети
  • One Solution collect form web for “Характеристика воздействия iptables”

    Недавний Core cpu должен иметь возможность справиться с этим штрафом.

    Однако по-прежнему не мешает увидеть, могут ли правила быть оптимизированы. Одна вещь, которая может помочь в зависимости от назначения IP-адресов, заключается в разделении правил на 8 частей:

    iptables -N ourtable iptables -N ourtable-000 iptables -N ourtable-032 iptables -N ourtable-064 iptables -N ourtable-096 iptables -N ourtable-128 iptables -N ourtable-160 iptables -N ourtable-192 iptables -N ourtable-224 iptables -A INPUT -p tcp --dport 12345 -j ourtable iptables -A ourtable -s 0.0.0.0/3 -j ourtable-000 iptables -A ourtable -s 32.0.0.0/3 -j ourtable-032 iptables -A ourtable -s 64.0.0.0/3 -j ourtable-064 iptables -A ourtable -s 96.0.0.0/3 -j ourtable-096 iptables -A ourtable -s 128.0.0.0/3 -j ourtable-128 iptables -A ourtable -s 160.0.0.0/3 -j ourtable-160 iptables -A ourtable -s 192.0.0.0/3 -j ourtable-192 iptables -A ourtable -s 224.0.0.0/3 -j ourtable-224 iptables -A ourtable-000 -s 1.2.3.4 -j ACCEPT ... iptables -A ourtable-000 -j DROP iptables -A ourtable-032 -s 32.1.2.3 -j ACCEPT ... iptables -A ourtable-032 -j DROP # etc... 

    Таким образом, пакет будет проверен против 625 правил вместо 5000 (предполагая, конечно, равномерное распределение адресов, что, вероятно, не так, вы можете настроить расщепление всего адресного пространства соответственно).

    Я также предполагаю, что у вас уже есть подсети в вашем списке (т. Е. Если вам нужно разрешить 172.18.0.0 до 172.18.0.7, вы замените это на 172.18.0.0/29). Если нет, проверьте такие диапазоны. В Debian я использую утилиту netmask чтобы увидеть, что покрывает данная маска сети:

     $ $ netmask -r 172.18.0.0/29 172.18.0.0-172.18.0.7 (8) 
    Linux и Unix - лучшая ОС в мире.