recent
iptablesモジュールとiptablesモジュールの実際の違いは何ですかipset
?
最近のモジュールは、サブネットではなくIPのみを許可することがわかっていますipset
。しかし、それ以外の主な実際の違いは何ですか?パフォーマンスですか?このうちどれを使うべきですか?
答え1
このiptables
recent
モジュールは、特定の基準(ソースIPアドレスやポートなど)に一致するパケットを追跡し、それらをリストに追加するために使用されます。パケットが基準を満たしている場合、表示、記録、または破棄される可能性があります。このモジュールは通常、特定のIPアドレスの接続または要求の数を制限するレート制限またはファイアウォールルールを実装するために使用されます。
ipset
一方、このツールは、複数のIPアドレスまたはネットワーク範囲、MACアドレス、ポートなどの他のネットワークオブジェクトを管理するために使用されます。これらのセットは、トラフィック制御iptables
やトラフィック制御などの他のツールで使用され、条件セットtc
と一致するパケットにポリシーを適用できます。 DNSやHTTP APIなどのネットワークソースから動的に更新されるセットを作成する機能など、モジュールよりも高度な機能をipset
提供します。recent
パフォーマンスの観点から特に対処すると、一部のシナリオではモジュールipset
よりも高速になる可能性があります。recent
複数のIPアドレス。ipset
使うからです。ハッシュテーブル効率的な検索と更新のためにIPアドレスを保存します。
ただし、小規模な IP アドレスのセット、デフォルトのレート制限、またはファイアウォールルールの場合、2 つのツール間のパフォーマンスの差が大きくない場合があります。さらに、最終的に使用するツールの選択は、特定のユースケースと要件によって異なります。
多数のIPアドレスやその他のネットワークオブジェクトを管理する必要がある場合、または外部ソースに基づいてコレクションを動的に更新する必要がある場合は、より良い選択肢になる可能性がipset
あります。一方、特定のIPアドレスまたはポートからのトラフィックのみを追跡して制限する必要がある場合は、このrecent
モジュールで十分です。
recent
参考としてのみ使用してください接続リスト。
引用:
https://linux.die.net/man/8/ipset
https://linux.die.net/man/8/iptables