현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

iptables 의 제한? 한계?

olif의 이미지
글쓴이: olif / 작성시간: 목, 2007/11/08 - 11:51오전

^^ 안녕하세요.

/sbin/iptables 에 대해서 볼일이 있어서 찾아보던중에 궁금증이 생겼습니다.

설정되는 곳이 /etc/sysconfig/iptables 에 텍스트로 저장이 되는 것으로 보이는데.

혹시 iptables 로 설정할 수 있는 ip list(?) 갯수의 제한은 없는건지요??

제가 스위치라우터 개발할때에는 Chip에 의존적인 한정된 갯수(예를들어 4K 개 라든지)가

정해져있었는데. 리눅스 자체에는 그런 제한이 (소프트웨어이기때문에?) 없는건가요?

혹시 제한이 있거나 ip list 갯수에 따른 패킷 처리 능력 저하에 관한 의견이나

문서가 있다면 알려주시면 감사하겠습니다.

제가 목표로하는 분석의 결과는 최적의(?) 적절한(?) iptables의 갯수입니다..

Forums: 
설치 및 활용 QnA
warpdory의 이미지

글쓴이: warpdory / 작성시간: 목, 2007/11/08 - 5:04오후

경험상 ... 한계는 없었던 걸로 기억합니다.

아마도 메모리 다 찰 때까지 .. 가능할 겁니다.

심심해서 ip 6 만 여개를 막아본 적 있었는데.. 약간 느려졌다 정도 빼고는 ... 별로 다른 점을 느낀 적은 없습니다. 대신 .. 한번 스크립트가 꼬이니 정신 없기는 하더군요.

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

pcharley의 이미지

글쓴이: pcharley / 작성시간: 목, 2007/11/08 - 5:25오후

제가 알기로 세션을 유지(contrack)할때 어느정도 메모리 사용하는 걸 로 알고있습니다.
하나의 세션당 몇KByte 정도 소요되는 걸로 알고 있는데요...
결국 메모리 용량이 접속 제한이라고 할 수 있을거 같습니다.

monovision의 이미지

글쓴이: monovision / 작성시간: 일, 2007/11/11 - 7:02오전

conntrack 당 1-4Kb 정도를 소모하는 것으로 알고 있으며, ipset 과 같은 확장 기능을 사용하신다면 좀 더 적은 메모리를 사용하면서 동일한 성능을 낼 수 있습니다.
이론적으로는... conntrack 을 무한으로 셋팅하게되면 룰셋과는 상관없이 메모리가 다 찰때까지겠죠.
( 룰셋 한계는 테스트 안해보았네요 ㅡ.ㅡ;;; 대신 ipset 으로 약 3만여개까지 테스트 해봤는데 성능저하는 전혀 없었습니다. )

다른 얘기지만...
브릿지 서버에 iptables 를 테스트 해 본 바로는 일반적인 Giga 랜카드로는 약 25만 여 세션이 한계였습니다.
이건 iptables 이 돌아가는 서버의 한계가 아니라 랜카드의 한계였구요 ㅡ.ㅡ;;
일반적인 랜카드에는 스펙상에 세션 한계가 표기가 안되어 있지만 20-25만 세션 정도가 한계였으며,
고 사양의 랜카드 스펙을 보시면 세션 한계가 기재되어 있는 모델들이 있습니다.
필요해서 본 것중에... 최고가 약 150만 세션 정도였던거 같네요. ids 나 ips 기능을 위해 사용되어지는 모델들... 가격대가 수백만원입니다. ㅡ.ㅡ;;;

olif 님이 정작 원했던 것은 아래 링크 였던거 같네요.
http://www.hipac.org/performance_tests/results.html

버스 9시간 타고 날 샜두만 헤롱헤롱하네요 ㅡㅡ;;;

olif의 이미지

글쓴이: olif / 작성시간: 월, 2007/11/19 - 11:19오전

^^ 여러분들의 조언 모두 감사드립니다.

우선 IP 테이블은 메모리의 한계까지이고.

IP 테이블 크기에 대한 성능저하는 어느 알고리즘(iptable, nf-HiPAC)을 쓰느냐가 문제겠군요.

ㅎㅎ Performance Test를 신나게 하면 답이 나올것 같습니다.

감사드려요~~

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.