iptables, блокируя большие количества IP-адресов
Возможно, Вам нужен диск драйвера для дискового контроллера SATA (Установка XP просит его вначале, "Нажатие F6...." часть), но обычно можно изменить настройки в BIOS для использования независимого от устройств / режима прежней версии для контроллера (ищите опции AHCI в BIOS Setup).
iptables инструмент пространства пользователя для управления netfilter. netfilter, код в ядре, которое обрабатывает пакетную фильтрацию. Контекстуально, изменение инструмента пространства пользователя только изменило бы Ваш опыт не способ, которым работает фильтрация.
Я никогда не поражал ограничение в Linux с количеством указанных правил, и я использовал Linux для брандмауэринга, так как инструмент пространства пользователя был ipfwadm. Известно, что Netfilter не был представлен Linux до 2.4.x ядро и ipfwadm был интерфейс для ipfw не netfilter. OpenBSD является большим для брандмауэра, если можно продолжить использовать его в среде.
Ограничение, вероятно, будет физическим ограничением на основе системных ресурсов с вниманием на количество доступной RAM. При обнаружении с проблемами Вам, вероятно, придется настроить макс. настройки IP-соединения Linux в ядре. Вы вряд ли встретитесь с любой из этих ситуаций на современных аппаратных средствах с современным дистрибутивом Linux.
Если требуется обсудить более прекрасные детали netfilter, Вы могли бы быть более обеспеченным содействием этому диалоговому окну в netfilter списках рассылки, как они будут экспертами в предметной области.
Если это не отвечает на Ваш вопрос, не стесняйтесь разъясняться, и я буду рад пересмотреть его.
Пользователь Netfilter поражает ограничение памяти, тестирующее netfilter пределы
-
1Хм, так по большей части это doesn' t действительно имеют значение что I' m использование, I' m управление тем же самым в конце и должен видеть сопоставимую производительность. Единственной вещью, которая придирается меня об этом, является ipset, который, кажется, абстрагирует это далеко от netfilter: ipset.netfilter.org/ipset.man.html , Если I' m читающий ту страницу справочника правильно ipset хранит IP-адреса саму в памяти, поскольку можно указать метод, например, iphash, а не через нормальный netfilter метод (или это продвигает iphash в netfilter?) – Twirrim 8 March 2010 в 17:57
5 000 правил не являются проблемой, однако, существует http://www.hipac.org/, который действительно вполне успевает при обработке огромного количества правил.
Я думаю, что ошибка, на которую он ссылается, находится в коде netfilter, в частности в модуле ipt_recent. Кажется, я ограничен 4k (32 бит) и 8k (64 бит).
см .:
Лучший способ заблокировать большое количество IP-адресов, не вызывая большой нагрузки на ядро, - это обнулить их маршрутизацию с помощью команды:
root @ machine # ip route add blackhole 192.168.1.1 / 32
iptables не подходит для многих правил.