IPTables 最大条目数。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 4516 天前的主题，其中的信息可能已经有所发展或是发生改变。

想在服务器上打开一个代理供手机使用，为了防止滥用，添加了搜到的联通 IP 地址范围的准入规则，大概 600 行左右，每行是一个 IP 范围。

这个大小对 IPTables 来说很大吗？机器是 Linode 1G Mem

iptables

Mem

10 条回复 • 1970-01-01 08:00:00 +08:00

efi

2013-06-20 13:25:05 +08:00

ipset

xzl

2013-06-20 14:05:33 +08:00

生产环境到过6000没问题，就是感觉每个包进来都要这么筛一次，会慢。

dndx

2013-06-20 14:09:30 +08:00

iptables 的过滤操作是通过 kernel module 在内核态完成的，效率应该是没有问题的。

TankyWoo

2013-06-20 17:55:42 +08:00

用ipset吧，我以前总结果相关的资料：http://wiki.wutianqi.com/tool/ipset.html

Xe0n0

2013-06-20 18:00:30 +08:00

@efi
@TankyWoo

感谢，择日研究。

Ansen

2013-06-20 18:03:31 +08:00

@dndx +1
但是多多少少会有点延迟，LZ机器配置延迟小到可以忽略

dndx

2013-06-20 19:23:56 +08:00

@Ansen 应该是，按照 LZ 的需求，iptables 是效率最高的方法了。

在 Web Server 或者部署的应用上做都会慢得多。

chemhack

2013-06-20 19:34:30 +08:00

prefix匹配效率很高的，都是二进制操作，放心好了。

tywtyw2002

2013-06-22 23:05:11 +08:00

以前我有过类似的项目，不过是http代理，用squid里面的acl 过滤掉了ip，感觉性能还是不错。 squid acl 上万条前缀都没啥问题。

iptables 没写过那么多条目。

如果单纯屏蔽ip的话，用ip rule 然后做blackhole就好了。
ip rule 做的是路由查找，速度不错的。

julyclyde

2013-06-23 09:06:02 +08:00

2008年在5d6d弄过三千条，结果system interrupts特别高，机器基本卡死不能干活儿
不过当年的服务器配置比较低啦

建议在应用层做这个