iptables极限

Question

我们有一个ubuntu设置为防火墙(基本iptables)，问题是我们有一个255.255.0.0的网络掩码，即几乎可能有65531个地址。

因为我想监视每个IP的下载流量，所以我需要制定数千条规则(我有一个脚本可以做到这一点)，但是我的服务器会支持这个数目的规则吗？

配置：

Dell optiplex 7210    
core i3 2.6Ghz    
4GB RAM    
50GB HD

Answer 1

我从这里收集到32位系统的理论极限大约是3800万，所以我认为64位系统会更多。但是，从前面提到的消息来源来看，25,000 rules上面提到的任何事情都会使27,000成为一个问题。

问题主要是在这些系统上使用大量的iptable rules，建议您可以使用：

1. ipsets来自这里，以及
2. 针对某一国家的geoip modules来自这里的iptables

来自用户(pdepartida) 这里的引用：

几周前，我收到了大量的端口80个请求，连接到服务器上的404，这些请求被附加到我的域上，所以我不能仅仅更改ip或其他任何东西。我需要阻止这个bot请求，并且仍然让我的apache启动并运行，所以我开始动态地阻止通过iptables。在最初的24小时结束时，我已经阻塞了超过22,000个不同的ip。我不得不用90 mb的内存(从linode 360)升级我的linode，但是其他的一切都很好！一周后，我已经屏蔽了53,000多个不同的ips。一切都像魔法一样运行，并且仍然能够让apache继续运行直到机器人停止尝试.顺便说一下，我每周冲一次桌子，以防万一。

所以这取决于你的可用内存。