iptables 限制

iptables 限制

我们有一个设置为防火墙的 ubuntu(基本 iptables),我们的网络掩码是 255.255.0.0,即几乎可能有 65531 个地址。

因为我想监控每个 IP 的下载流量,所以我需要制定数千条规则(我有一个可以做到这一点的脚本)但我的服务器能支持那么多规则吗?

配置:

Dell optiplex 7210    
core i3 2.6Ghz    
4GB RAM    
50GB HD

答案1

这里我估计 32 位系统上的理论限制约为 3800 万,所以我认为 64 位系统会更多。但从上述来源来看,上述任何内容25,000 rules都会27,000成为问题。

问题主要是这些系统上的内存使用量如此之大iptable rules,建议使用:

  1. ipsets这里, 和
  2. geoip modules对于 iptables这里当针对一个国家

用户 (pdepartida) 的引言这里

几周前,我收到大量与我的域名相关的 80 端口请求,错误代码为 404,因此我无法更改 IP 或其他操作。

我需要阻止这个机器人请求,同时保持我的 apache 正常运行,因此我开始通过 iptables 进行动态阻止。在第一个 24 小时结束时,我已经阻止了超过 22,000 个不同的 ip。我不得不升级我的 linode,增加 90 mb 的 RAM(来自 linode 360​​),但其他一切都很好!

一周后,我已经阻止了超过 53,000 个不同的 IP。一切都运行顺利,并且仍然能够保持 Apache 运行,直到机器人最终停止尝试...

顺便说一句,为了以防万一,我每周都会清理一次桌子。

所以这实际上取决于您的可用内存。

相关内容