пределы iptables
Нам настраивали человечность как брандмауэр (основной iptables), вещь, у нас есть сетевая маска 255.255.0.0 т.е. почти возможный 65 531 адрес.
Так как я хочу контролировать трафик загрузки на IP, я должен сделать тысячи правил (у меня есть сценарий, который может сделать это), но мой сервер будет поддерживать то количество правил?
конфигурация:
Dell optiplex 7210
core i3 2.6Ghz
4GB RAM
50GB HD
1 ответ
Начиная с здесь я понимаю, что теоретический предел мог бы составить около 38 миллионов на 32-битных системах, поэтому я думаю, что 64-битные системы были бы намного больше. Но опять же из вышеупомянутого источника любая вещь выше 25,000 rules, скажем 27,000, станет проблемой.
Проблемы в основном связаны с использованием памяти в этих системах с таким большим количеством iptable rules, предлагается использовать:
Цитата пользователя (pdepartida) здесь : [ 1114]
Пару недель назад я получал массивные запросы порта 80 к 404 на моем сервере, которые были подключены к моему домену, поэтому я не мог просто изменить ip или что-то еще.
Мне нужно было заблокировать запросы этого бота, но мой Apache все еще работает, поэтому я начал динамически блокировать iptables. В конце первых 24 часов я уже блокировал более 22 000 различных IP-адресов. Мне пришлось обновить свою линоду с помощью 90 дополнительных мегабайт ОЗУ (по сравнению с линодой 360), но все остальное было в порядке!
Через неделю я уже заблокировал более 53 000 различных ips. Все работало как очарование и все еще было в состоянии поддерживать работу Apache, пока в конце концов боты не перестали пытаться ...
Кстати, я на всякий случай заполнял столы раз в неделю.
Так что это действительно зависит от вашей доступной памяти.