2 votes

FatRabbit avatar

Iptables limites

Demandé el 15 de Septembre, 2017
Quand la question a-t-elle été
2535 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons une configuration ubuntu comme pare-feu (iptables basique), le problème est que nous avons un masque de sous-réseau de 255.255.0.0, c'est-à-dire presque 65531 adresses possibles.

Comme je veux surveiller le trafic de téléchargement par IP, j'ai besoin de créer des milliers de règles (j'ai un script qui peut le faire) mais est-ce que mon serveur supportera ce nombre de règles?

configuration:

Dell optiplex 7210    
core i3 2.6Ghz    
4GB RAM    
50GB HD
Demandé el 15 de Septembre, 2017 par FatRabbit

Réponse

Trop de publicités?

2voto

George Udosen avatar
George Udosen Points 33267

À partir d'ici, je suppose que la limite théorique serait d'environ 38 millions sur les systèmes 32 bits, donc je pense que les systèmes 64 bits seraient beaucoup plus. Mais encore une fois, d'après la source mentionnée précédemment, tout ce qui dépasse 25 000 règles comme 27 000 poserait problème.

Les problèmes sont principalement liés à l'utilisation de la mémoire sur ces systèmes avec un si grand nombre de règles iptable, il est suggéré d'utiliser :

  1. ensembles IP à partir de ici, et
  2. modules geoip pour iptables à partir de ici lorsqu'il s'agit de cibler un pays

Citation d'un utilisateur (pdepartida) ici:

Il y a quelques semaines, j'ai reçu de nombreuses demandes de port 80 vers une erreur 404 sur mon serveur, qui étaient liées à mon domaine, donc je ne pouvais pas simplement changer l'adresse IP ou autre.

Je devais bloquer ces demandes de robots tout en maintenant mon apache en marche, j'ai donc commencé à bloquer dynamiquement via iptables. À la fin des premières 24 heures, j'avais déjà bloqué plus de 22 000 adresses IP distinctes. J'ai dû mettre à niveau mon Linode avec 90 Mo de RAM supplémentaires (d'un Linode 360) mais tout le reste était parfait!

Au bout d'une semaine, j'avais déjà bloqué plus de 53 000 adresses IP différentes. Tout fonctionnait parfaitement et j'arrivais toujours à maintenir apache en marche jusqu'à ce que les robots arrêtent d'essayer...

D'ailleurs, j'ai vidé les tables une fois par semaine, juste au cas où.

Donc tout dépend vraiment de votre mémoire disponible.

Répondu el 15 de Septembre, 2017 par George Udosen (33267 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X