IPTables 最大条目数。

2013-06-20 11:39:45 +08:00

Xe0n0

想在服务器上打开一个代理供手机使用，为了防止滥用，添加了搜到的联通 IP 地址范围的准入规则，大概 600 行左右，每行是一个 IP 范围。

这个大小对 IPTables 来说很大吗？机器是 Linode 1G Mem

5041 次点击

所在节点

Linux

10 条回复

efi

2013-06-20 13:25:05 +08:00

ipset

xzl

2013-06-20 14:05:33 +08:00

生产环境到过6000没问题，就是感觉每个包进来都要这么筛一次，会慢。

dndx

2013-06-20 14:09:30 +08:00

iptables 的过滤操作是通过 kernel module 在内核态完成的，效率应该是没有问题的。

TankyWoo

2013-06-20 17:55:42 +08:00

用ipset吧，我以前总结果相关的资料：http://wiki.wutianqi.com/tool/ipset.html

Xe0n0

2013-06-20 18:00:30 +08:00

@efi
@TankyWoo

感谢，择日研究。

Ansen

2013-06-20 18:03:31 +08:00

@dndx +1
但是多多少少会有点延迟，LZ机器配置延迟小到可以忽略

dndx

2013-06-20 19:23:56 +08:00

@Ansen 应该是，按照 LZ 的需求，iptables 是效率最高的方法了。

在 Web Server 或者部署的应用上做都会慢得多。

chemhack

2013-06-20 19:34:30 +08:00

prefix匹配效率很高的，都是二进制操作，放心好了。

tywtyw2002

2013-06-22 23:05:11 +08:00

以前我有过类似的项目，不过是http代理，用squid里面的acl 过滤掉了ip，感觉性能还是不错。 squid acl 上万条前缀都没啥问题。

iptables 没写过那么多条目。

如果单纯屏蔽ip的话，用ip rule 然后做blackhole就好了。
ip rule 做的是路由查找，速度不错的。

julyclyde

2013-06-23 09:06:02 +08:00

2008年在5d6d弄过三千条，结果system interrupts特别高，机器基本卡死不能干活儿
不过当年的服务器配置比较低啦

建议在应用层做这个

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/72982

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.