没有任何研究比较 IP表和 IPset 中自定义链之间的差异。
有谁可以告诉我这两者在功能和性能方面的差异吗? (特别是效率)
如果可能提供任何已发表的研究论文或信息,请?
答案 0 :(得分:1)
如果服务器收到非常高的流量,很多iptables规则会产生很大的开销,特别是在CPU上。这取决于您拥有的规则类型以及您使用的iptables扩展名。
你可以阅读这两篇论文: https://workshop.netfilter.org/2013/wiki/images/a/ab/Jozsef_Kadlecsik_ipset-osd-public.pdf
http://www.netdevconf.org/1.1/proceedings/slides/kadlecsik-ipset-firewalling-iptables.pdf
它们提供了不同的场景,iptables的工作原理,性能测试等等。
不确定这是否是您正在寻找的东西,但它仍然是一个很好的阅读
<强>更新
ipset 是iptables的扩展,允许您创建匹配整个&#34;设置的防火墙规则。地址一次。与通过线性存储和遍历的普通iptables链不同,IP集存储在索引数据结构中,即使处理大型集合,查找也非常高效。
假设您要阻止10k ip地址,只需iptables,您就必须创建10k规则,每个ip地址一个,而使用ipset,您可以为这些IP地址的特定集合创建单个规则。这可以转化速度,减少规则,减少CPU处理能力等等。