Пределы iptables
У нас есть ubuntu, настроенный как брандмауэр (базовые iptables), у нас есть сетевая маска 255.255.0.0, т.е. почти возможные адреса 65531.
Поскольку я хочу отслеживать трафик загрузки на каждый IP-адрес, Мне нужно сделать тысячи правил (у меня есть сценарий, который может это сделать), но мой сервер будет поддерживать это количество правил?
configuration:
Dell optiplex 7210
core i3 2.6Ghz
4GB RAM
50GB HD
3 ответа
Отсюда я понимаю, что теоретический предел составит около 38 миллионов на 32-битных системах, поэтому я думаю, что 64-битные системы будут намного больше. Но опять же из вышеупомянутого источника любая вещь выше 25,000 rules, скажем, 27,000 станет проблемой.
Проблемы в основном связаны с использованием этих систем с таким большим количеством iptable rules, поэтому можно использовать здесь:
ipsets и geoip modules для iptables отсюда, когда таргетинг на странуЦитата из пользователя (pdepartida) here :
Пару недель назад я получал массовые 80 запросов к 404 на моем сервере, которые были прикреплены к моему домену, поэтому я не мог просто изменить ip или что-то еще. Мне нужно было заблокировать этот бот-запрос и все еще запустить apache и запустить, поэтому я начал динамически блокировать iptables. В конце первых 24 часов я уже блокировал более 22 000 различных ip-адресов. Мне пришлось обновить мой linode с 90 дополнительных МБ оперативной памяти (из линейного 360), но все остальное было прекрасно! Через неделю я уже заблокировал более 53 000 разных ips. Все работало как шарм и все еще способно поддерживать Apache, пока боты не перестали пытаться ... Кстати, я раздувал столы раз в неделю, на всякий случай.Так что это действительно зависит от вашей доступной памяти.
Отсюда я понимаю, что теоретический предел составит около 38 миллионов на 32-битных системах, поэтому я думаю, что 64-битные системы будут намного больше. Но опять же из вышеупомянутого источника любая вещь выше 25,000 rules, скажем, 27,000 станет проблемой.
Проблемы в основном связаны с использованием этих систем с таким большим количеством iptable rules, поэтому можно использовать здесь:
ipsets и geoip modules для iptables отсюда, когда таргетинг на странуЦитата из пользователя (pdepartida) here :
Пару недель назад я получал массовые 80 запросов к 404 на моем сервере, которые были прикреплены к моему домену, поэтому я не мог просто изменить ip или что-то еще. Мне нужно было заблокировать этот бот-запрос и все еще запустить apache и запустить, поэтому я начал динамически блокировать iptables. В конце первых 24 часов я уже блокировал более 22 000 различных ip-адресов. Мне пришлось обновить мой linode с 90 дополнительных МБ оперативной памяти (из линейного 360), но все остальное было прекрасно! Через неделю я уже заблокировал более 53 000 разных ips. Все работало как шарм и все еще способно поддерживать Apache, пока боты не перестали пытаться ... Кстати, я раздувал столы раз в неделю, на всякий случай.Так что это действительно зависит от вашей доступной памяти.
Отсюда я понимаю, что теоретический предел составит около 38 миллионов на 32-битных системах, поэтому я думаю, что 64-битные системы будут намного больше. Но опять же из вышеупомянутого источника любая вещь выше 25,000 rules, скажем, 27,000 станет проблемой.
Проблемы в основном связаны с использованием этих систем с таким большим количеством iptable rules, поэтому можно использовать здесь:
ipsets и geoip modules для iptables отсюда, когда таргетинг на странуЦитата из пользователя (pdepartida) here :
Пару недель назад я получал массовые 80 запросов к 404 на моем сервере, которые были прикреплены к моему домену, поэтому я не мог просто изменить ip или что-то еще. Мне нужно было заблокировать этот бот-запрос и все еще запустить apache и запустить, поэтому я начал динамически блокировать iptables. В конце первых 24 часов я уже блокировал более 22 000 различных ip-адресов. Мне пришлось обновить мой linode с 90 дополнительных МБ оперативной памяти (из линейного 360), но все остальное было прекрасно! Через неделю я уже заблокировал более 53 000 разных ips. Все работало как шарм и все еще способно поддерживать Apache, пока боты не перестали пытаться ... Кстати, я раздувал столы раз в неделю, на всякий случай.Так что это действительно зависит от вашей доступной памяти.