V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Xe0n0
V2EX  ›  Linux

IPTables 最大条目数。

  •  
  •   Xe0n0 · 2013-06-20 11:39:45 +08:00 · 5228 次点击
    这是一个创建于 4206 天前的主题,其中的信息可能已经有所发展或是发生改变。
    想在服务器上打开一个代理供手机使用,为了防止滥用,添加了搜到的联通 IP 地址范围的准入规则,大概 600 行左右,每行是一个 IP 范围。

    这个大小对 IPTables 来说很大吗?机器是 Linode 1G Mem
    10 条回复    1970-01-01 08:00:00 +08:00
    efi
        1
    efi  
       2013-06-20 13:25:05 +08:00
    ipset
    xzl
        2
    xzl  
       2013-06-20 14:05:33 +08:00
    生产环境到过6000没问题,就是感觉每个包进来都要这么筛一次,会慢。
    dndx
        3
    dndx  
       2013-06-20 14:09:30 +08:00
    iptables 的过滤操作是通过 kernel module 在内核态完成的,效率应该是没有问题的。
    TankyWoo
        4
    TankyWoo  
       2013-06-20 17:55:42 +08:00
    用ipset吧,我以前总结果相关的资料:http://wiki.wutianqi.com/tool/ipset.html
    Xe0n0
        5
    Xe0n0  
    OP
       2013-06-20 18:00:30 +08:00
    @efi
    @TankyWoo

    感谢,择日研究。
    Ansen
        6
    Ansen  
       2013-06-20 18:03:31 +08:00
    @dndx +1
    但是多多少少会有点延迟,LZ机器配置延迟小到可以忽略
    dndx
        7
    dndx  
       2013-06-20 19:23:56 +08:00
    @Ansen 应该是,按照 LZ 的需求,iptables 是效率最高的方法了。

    在 Web Server 或者部署的应用上做都会慢得多。
    chemhack
        8
    chemhack  
       2013-06-20 19:34:30 +08:00
    prefix匹配效率很高的,都是二进制操作,放心好了。
    tywtyw2002
        9
    tywtyw2002  
       2013-06-22 23:05:11 +08:00
    以前我有过类似的项目,不过是http代理,用squid里面的acl 过滤掉了ip,感觉性能还是不错。 squid acl 上万条前缀都没啥问题。

    iptables 没写过那么多条目。

    如果单纯屏蔽ip的话,用ip rule 然后做blackhole就好了。
    ip rule 做的是路由查找,速度不错的。
    julyclyde
        10
    julyclyde  
       2013-06-23 09:06:02 +08:00
    2008年在5d6d弄过三千条,结果system interrupts特别高,机器基本卡死不能干活儿
    不过当年的服务器配置比较低啦

    建议在应用层做这个
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3080 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 13:05 · PVG 21:05 · LAX 05:05 · JFK 08:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.