Quantas regras o iptables suporta?

12

Alguém me perguntou isso recentemente e eu não tinha resposta para isso. Sei que essa é uma pergunta em aberto, mas há um limite no número de regras que você pode instalar em uma tabela / cadeia? Se sim, como posso descobrir isso? Eu acho que vai variar entre as máquinas.

iptables Bruce
fonte
1
tente adicionar com um forloop até a máquina travar.
Lucas Kauffman
depende inteiramente da complexidade da regra. Veja minha resposta Jan Engelhardte todo o encadeamento que vinculei, se você quiser obter mais detalhes, incluindo por que as modificações após o carregamento podem falhar quando o carregamento inicial funciona bem.
RS

Respostas:

11

Citação do Jan Engelhardt

The theoretical upper limit of maximum number of rules for a 32-bit
environment would be somewhere around 38 million, but you could also
construct a rule that is so crowded with matches that even it won't
fit, so the lower limit of max rules is 0.

http://www.spinics.net/lists/netfilter/msg51895.html

RS
fonte
1
Essa teoria, eu li alguns artigos que, na prática as coisas vão para o sul muito rapidamente uma vez passando por cima 25k
Lucas Kauffman
5
O ponto é que depende inteiramente da complexidade da regra e da disponibilidade de memória. Como ele aponta, você pode escrever uma única regra que não caiba e, portanto, o máximo seria 0. FWIW, service iptables status | wc -lme dá 112373uma caixa que eu administro. Centos de 64 bits 6 com 96 GB de RAM. Não há problemas em adicionar mais regras ou até recarregar com esse valor.
RS
1
@kormoc: por curiosidade: para que serve essa caixa de firewall? Coisas Firewall não é o meu dayjob, mas mais de 100 mil regras soa enorme e eu quero saber :)
wzzrd
1
Um dos administradores anteriores configurou um bloqueador de força bruta que adiciona uma regra iptable para qualquer ips que tentar. Temos cerca de 6250 ips 'ruins' bloqueando 16 portas, 8 tcp e 8 udp. Honestamente, devemos mudar o script, mas ele não causou nenhum problema, por isso é deixado como está e o número aumenta lentamente à medida que outros hosts se tornam proprietários e nos examinam.
RS
2
kormoc - é melhor mudar para o fail2ban. Pode ser configurado para remover ips bloqueados ao longo do tempo. Vamos ser sinceros, a varredura de 100000 conjuntos de regras será um pouco lenta.
22813 Matt
6

De acordo com o linuxquestions.org , em uma máquina de 32 bits, o IPTables suportará cerca de 25.000 regras. Indo além disso, especialmente de 27.000, as coisas começam a ficar esquisitas.

Lucas Kauffman
fonte
que tal um Ubuntu 16.04LTS de 64 bits?
23r23f23q