Iptables 的效率问题

人面兽心

我的IPTABLES规则有上千条，大多都是BAN掉的IP地址，请问上千条规则会不会拖慢服务器速度？

springwind426

应该有影响

不过，可以尝试用set（ipset）模块来控制，效率会高不少

ssffzz1

把这些地址聚合一下，应该条目会少很多。

jsjzhang

多数IP能不能聚合一下，这么多规则效率一定会慢一些

platinum

技术上讲和具体策略数无必然联系
效率的高低主要取决于一个数据包从进入 netfilter 到匹配上所遍历的规则数量，而不是取决于 iptables 里规则的绝对数量

fuleru

platinum 读了<<Linux Firewalls, Third Edition >>?

这书好似讲到这个问题。。。


有成千条ip要ban，是不是防止ssh试探？

[ 本帖最后由 fuleru 于 2007-11-18 09:15 编辑 ]

platinum

没有读过，但我看部分源代码，根据自己长期一来的使用经验从而得出了上述结论

springwind426

iptables-save -c

看看计数，应该大致能够估算那上千条规则是如何遍历的。

我觉得，用一个效率更高的检测IP的模块会比一条条罗列规则会更有效率

就象同时要禁止多个端口的时候，更多的人是选择用multiport模块来完成，而不是一个一个端口的罗列。


精心构造规则的排列顺序，可以增强效率，不过，在通常情况下，计算效率是考虑最坏情况，然后在考虑好系数问题（而不是先考虑最优情况，然后再考虑坏系统问题）


这只是一些个人看法，仅供参考

depthblue_xsc

会有影响的，如果到了１０００条，性能下降很多的，我测试过２０００条规则的影响

5iwww

俺觉得 规则写的顺序是否合理 这才是影响iptables效率的关键 譬如 -m state 的位置