Combien de règles iptables peut-il prendre en charge?

12

Quelqu'un m'a posé cette question récemment et je n'ai eu aucune réponse. Je sais que c'est une sorte de question ouverte, mais y a-t-il une limite au nombre de règles que vous pouvez installer dans une table / chaîne? Si oui, comment puis-je le savoir? Je suppose que cela variera d'une machine à l'autre.

iptables Bruce
la source
1
essayez d'ajouter avec un forloop jusqu'à ce que votre machine plante.
Lucas Kauffman
cela dépend entièrement de la complexité de la règle. Voir ma réponse Jan Engelhardtet l'intégralité du fil que j'ai lié si vous voulez plus de détails, y compris pourquoi les modifications après le chargement peuvent se bloquer lorsque le chargement initial fonctionne correctement.
RS

Réponses:

11

Citation de Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
la source
1
C'est de la théorie, j'ai lu quelques articles qui, dans la pratique, les choses vont au sud assez rapidement une fois dépassant 25 km
Lucas Kauffman
5
Le fait est que cela dépend entièrement de la complexité de la règle et de la disponibilité de la mémoire. Comme il le fait remarquer, vous pouvez écrire une seule règle qui ne rentre pas et donc le maximum serait 0. FWIW, service iptables status | wc -lme donne 112373sur une case que j'administre. Centos 64 bits 6 avec 96 Go de RAM. Il n'y a aucun problème à ajouter plus de règles ou même à recharger avec ce montant.
RS
1
@kormoc: par curiosité: à quoi sert cette boîte de pare-feu? Les choses sur le pare-feu ne sont pas mes tâches quotidiennes, mais plus de 100 000 règles semblent énormes et je veux savoir :)
wzzrd
1
L'un des administrateurs précédents a configuré un bloqueur de force brute qui ajoute une règle iptable pour tous les ips qui tentent. Nous avons environ 6250 ips «mauvais» bloquant 16 ports, 8 tcp et 8 udp. Honnêtement, nous devrions changer le script, mais cela n'a posé aucun problème, donc il est laissé tel quel et le nombre grimpe lentement à mesure que d'autres hôtes deviennent propriétaires et nous scannent.
RS
2
kormoc - vous feriez mieux de passer à l'utilisation de fail2ban. Il peut être configuré pour supprimer les adresses IP bloquées au fil du temps. Avouons-le, l'analyse de 100 000 ensembles de règles va être un peu lente.
Matt
6

Selon linuxquestions.org , sur une machine 32 bits, IPTables prendra en charge environ 25 000 règles. Au-delà de cela, surtout à partir de 27 000, les choses commencent à devenir instables.

Lucas Kauffman
la source
que diriez-vous d'un Ubuntu 16.04LTS 64 bits?
23r23f23q