¿Cuántas reglas pueden soportar iptables?

12

Alguien me preguntó esto recientemente y no tenía respuesta para eso. Sé que esta es una pregunta abierta, pero ¿hay un límite en el número de reglas que puede instalar en una tabla / cadena? Si es así, ¿cómo puedo averiguarlo? Supongo que variará de una máquina a otra.

iptables Bruce
fuente
1
intente agregar con un bucle forloop hasta que su máquina se bloquee.
Lucas Kauffman
depende completamente de la complejidad de la regla. Vea mi respuesta Jan Engelhardty el hilo completo que vinculé si desea más detalles, incluido por qué las modificaciones después de la carga pueden fallar cuando la carga inicial funciona bien.
RS

Respuestas:

11

Cita de Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
fuente
1
Esa es la teoría, leí algunos artículos que en la práctica las cosas van al sur bastante rápido una vez que superan los 25k
Lucas Kauffman
55
El punto es que depende completamente de la complejidad de la regla y la disponibilidad de memoria. Como señala, puede escribir una sola regla que no se ajuste y, por lo tanto, el máximo sería 0. FWIW, service iptables status | wc -lme da 112373en un cuadro que administro. 64 bit centos 6 con 96 gigas de ram. No hay problemas para agregar más reglas o incluso recargar con esa cantidad.
RS
1
@kormoc: por curiosidad: ¿para qué sirve el firewall? El cortafuegos no es mi trabajo diario, pero más de 100000 reglas suenan masivas y quiero saber :)
wzzrd
1
Uno de los administradores anteriores configuró un bloqueador de fuerza bruta que agrega una regla iptable para cualquiera de los ips que intentan. Tenemos alrededor de 6250 ips 'malos' que bloquean 16 puertos, 8 tcp y 8 udp. Honestamente, deberíamos cambiar el script, pero no ha causado ningún problema, por lo que se deja como está y el número se incrementa lentamente a medida que algunos otros hosts se hacen dueños y nos escanean.
RS
2
kormoc: es mejor que cambie a usar fail2ban. Se puede configurar para eliminar las IP bloqueadas con el tiempo. Seamos realistas, escanear 100000 conjuntos de reglas va a ser un poco lento.
Matt
6

Según linuxquestions.org , en una máquina de 32 bits, IPTables admitirá alrededor de 25,000 reglas. Yendo más allá de eso, especialmente de 27,000, las cosas comienzan a ponerse flojas.

Lucas Kauffman
fuente
¿qué tal un Ubuntu 16.04LTS de 64 bits?
23r23f23q