netfilter:ipsetとiptablesの最新モジュール

netfilter:ipsetとiptablesの最新モジュール

recentiptablesモジュールとiptablesモジュールの実際の違いは何ですかipset

最近のモジュールは、サブネットではなくIPのみを許可することがわかっていますipset。しかし、それ以外の主な実際の違いは何ですか?パフォーマンスですか?このうちどれを使うべきですか?

答え1

このiptables recentモジュールは、特定の基準(ソースIPアドレスやポートなど)に一致するパケットを追跡し、それらをリストに追加するために使用されます。パケットが基準を満たしている場合、表示、記録、または破棄される可能性があります。このモジュールは通常、特定のIPアドレスの接続または要求の数を制限するレート制限またはファイアウォールルールを実装するために使用されます。

ipset一方、このツールは、複数のIPアドレスまたはネットワーク範囲、MACアドレス、ポートなどの他のネットワークオブジェクトを管理するために使用されます。これらのセットは、トラフィック制御iptablesやトラフィック制御などの他のツールで使用され、条件セットtcと一致するパケットにポリシーを適用できます。 DNSやHTTP APIなどのネットワークソースから動的に更新されるセットを作成する機能など、モジュールよりも高度な機能をipset提供します。recent

パフォーマンスの観点から特に対処すると、一部のシナリオではモジュールipsetよりも高速になる可能性があります。recent複数のIPアドレスipset使うからです。ハッシュテーブル効率的な検索と更新のためにIPアドレスを保存します。

ただし、小規模な IP アドレスのセット、デフォルトのレート制限、またはファイアウォールルールの場合、2 つのツール間のパフォーマンスの差が大きくない場合があります。さらに、最終的に使用するツールの選択は、特定のユースケースと要件によって異なります。

多数のIPアドレスやその他のネットワークオブジェクトを管理する必要がある場合、または外部ソースに基づいてコレクションを動的に更新する必要がある場合は、より良い選択肢になる可能性がipsetあります。一方、特定のIPアドレスまたはポートからのトラフィックのみを追跡して制限する必要がある場合は、このrecentモジュールで十分です。

recent参考としてのみ使用してください接続リスト

引用:
https://linux.die.net/man/8/ipset
https://linux.die.net/man/8/iptables

関連情報