[Postfixbuch-users] [OT] Speicherbedarf iptables rules

Uwe Driessen driessen at fblan.de
Mo Mai 18 13:54:24 CEST 2009


On Behalf Of Uwe Kiewel
> Hi Zusammen,
> 
> weiss jemand, mit welchem Speicherbedarf pro iptables rule zu rechnen
> ist? Ist das von der Netzgrösse in der rule abhängig?
> 
> 

Habe ich mir noch nie Gedanken drum gemacht.

Ich sehe eher ein Problem wenn jedes Netz in einer Rule steht und es derer 1000 und mehr
gibt so was drückt tierisch auf den Durchsatz.

Ich hab netze mit IPSET in IPTables eingebunden 

Jedes IPSET kann ca. 65000 netze im format ip/prefix (/8 /12 /24 /17 usw.) aufnehmen 
IPSET bildet draus hash somit kann dann mit einer IPTables Regel alle möglichen Netze
gesperrt werden.

Statt jeder Menge Rules die alle einzeln im Speicher stehen werden nur die hashes im
Speicher gehalten dürfte einiges an bytes ausmachen. Und es ist wesentlich schneller 10000
IPset einträge wie 1000 IPTables Rules abzufragen.

IPSET kann auch ports, einzelne IP's usw aufnehmen je nachdem was man für eine Tabelle mit
IPSET generiert.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users