প্রায় 1 মিলিয়ন আইপি ঠিকানাগুলি কালো তালিকাভুক্ত করার জন্য আইপেটেবল বা নাল রুট ব্যবহার করবেন?

আমি এমন একটি পরিস্থিতি পেরিয়ে এসেছি যেখানে ক্লায়েন্টকে কেবলমাত্র 1 মিলিয়ন স্বতন্ত্র আইপি অ্যাড্রেসের (কোনও সাবনেট নেই) একটি সেটকে কালো তালিকাভুক্ত করতে হবে, এবং নেটওয়ার্ক কর্মক্ষমতা একটি উদ্বেগ। যদিও আমি অনুমান করতে পারি যে IPTables বিধিগুলির রুটের তুলনায় কার্যকারিতা প্রভাব কম হবে, এটি কেবল অনুমান করা।

আইপি ঠিকানাগুলিকে দীর্ঘ তালিকাভুক্ত করার জন্য কালো তালিকাভুক্তির সমাধান হিসাবে আইপি টেবিলের পক্ষে বা নাল রাউটিংয়ের পক্ষে কারও কাছে কোন প্রমাণ বা অন্য কোন যুক্তি রয়েছে? এক্ষেত্রে সবকিছু স্বয়ংক্রিয় হয়, সুতরাং ব্যবহারের সহজলভ্যতা আসলেই উদ্বেগ নয়।

সম্পাদনা 26-নভেম্বর -11

কিছু পরীক্ষা এবং বিকাশের পরে, এটি প্রদর্শিত হয় যে এই বিকল্পগুলির কোনওটিই কার্যক্ষম নয়। এটি প্রদর্শিত হয় যে উভয় রুট লকআপ এবং আইপটিবলগুলি নিয়মসেটের মাধ্যমে লিনিয়ার অনুসন্ধানগুলি করে এবং এগুলি অনেক নিয়ম প্রক্রিয়া করতে খুব দীর্ঘ সময় নেয়। আধুনিক হার্ডওয়্যারগুলিতে, iptables ব্ল্যাকলিস্টে 1 এম আইটেম স্থাপন করা সার্ভারকে সেকেন্ডে প্রায় 2 ডজন প্যাকেট কমিয়ে দেয়। সুতরাং আইপেটেবল এবং নাল রুটগুলি বাইরে।

ipset, জিমি হেডম্যানের প্রস্তাবিত হিসাবে দুর্দান্ত হবে, এটি ছাড়াও এটি আপনাকে কোনও সেটে 65536 এর বেশি ঠিকানা ট্র্যাক করতে দেয় না, সুতরাং কারও কোনও ধারণা না থাকলে আমি এটি ব্যবহারের চেষ্টাও করতে পারি না।

আপাতদৃষ্টিতে এই অনেকগুলি আইপি ব্লক করার একমাত্র সমাধানটি অ্যাপ্লিকেশন স্তরে একটি সূচিযুক্ত লক করা হচ্ছে। তা কি তাই না?

অধিক তথ্য:

এই উদাহরণস্বরূপ ব্যবহারের কেসটি একটি ওয়েব সার্ভারে স্ট্যাটিক সামগ্রী অ্যাক্সেস করা থেকে আইপি অ্যাড্রেসের একটি "জ্ঞাত অপরাধী" তালিকাটিকে ব্লক করছে। এফডাব্লুআইডাব্লু, অ্যাপাচি এর মাধ্যমে ব্লক Deny fromকরা সমান ধীর (আরও বেশি না হলে) এটি লিনিয়ার স্ক্যানও করে।

এফওয়াইআই: ফাইনাল ওয়ার্কিং সলিউশনটি হল কালো তালিকাভুক্তের বিরুদ্ধে লুক্কুলি করার জন্য বার্কলে ডিবি মানচিত্রের সাথে মিলিয়ে অ্যাপাচি-র Mod_rewrite ব্যবহার করা। বার্কলে ডিবিগুলির সূচকযুক্ত প্রকৃতি তালিকাটিকে ও (লগ এন) এর কর্মক্ষমতা দিয়ে স্কেল করার অনুমতি দিয়েছে।

অনুসন্ধানের সংখ্যা হ্রাস করতে iptables ব্যবহার এবং বহু-স্তরের গাছ তৈরি করার চেষ্টা করুন।

iptables -N rules_0_0_0_0_2
iptables -N rules_64_0_0_0_2
iptables -N rules_128_0_0_0_2
iptables -N rules_192_0_0_0_2
iptables -N rules_0_0_0_0_4
iptables -N rules_16_0_0_0_4

iptables -A INPUT -p tcp --dport 80 -s 0.0.0.0/2 -j rules_0_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 64.0.0.0/2 -j rules_64_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 128.0.0.0/4 -j rules_128_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 192.0.0.0/4 -j rules_192_0_0_0_2

iptables -A rules_0_0_0_0_2 -s 0.0.0.0/4 -j rules_0_0_0_0_4
iptables -A rules_0_0_0_0_2 -s 16.0.0.0/4 -j rules_16_0_0_0_4

এবং আরও - বাসা বাঁধার স্তর; স্পষ্টতই আপনার বিধি তৈরির একটি স্বয়ংক্রিয় পদ্ধতি প্রয়োজন এবং আপনার কেবল এক বা একাধিক অপরাধী নেটওয়ার্কগুলির জন্য আপনার চেইন থাকা উচিত - এইভাবে আপনি বেশ লক্ষণীয়ভাবে কাজ করতে হবে এমন লুকআপের সংখ্যা হ্রাস করতে পারবেন এবং আমার মনে হয় এটি হতে পারে আসলে কাজ।

এই ঠিক কি ipsetজন্য হয়।

এর ওয়েবসাইট http://ipset.netfilter.org/ থেকে :

যদি তুমি চাও

• একাধিক আইপি ঠিকানা বা পোর্ট নম্বর সংরক্ষণ করুন এবং আইপটবেবলগুলি সংগ্রহের বিরুদ্ধে এক চলাফেরায় মেলে;
• পারফরম্যান্স জরিমানা ছাড়াই আইপি অ্যাড্রেস বা পোর্টগুলির বিরুদ্ধে আইপিটিবেলের নিয়মগুলি গতিশীলভাবে আপডেট করুন;
• একটি একক iptables নিয়ম সহ জটিল আইপি ঠিকানা এবং পোর্ট ভিত্তিক রোলসেটগুলি প্রকাশ করুন এবং আইপি সেটগুলির গতি থেকে উপকার পাবেন

তাহলে আইপসেট আপনার জন্য উপযুক্ত হাতিয়ার হতে পারে।

এটি নেটফিল্টার কোর দলের সদস্য জোসেফ কাদলেসিক লিখেছেন (যিনি REJECT টার্গেটও লিখেছিলেন) তাই আমি ভাবতে পারি এটি সেরা পছন্দ।

এটি সাম্প্রতিক কার্নেলের মধ্যে অন্তর্ভুক্ত রয়েছে।

আমি নিজে এটি পরীক্ষা করে দেখিনি, তবে আপনার সমস্যার বর্ণনা শুনে আমি তাত্ক্ষণিকভাবে ভেবেছিলাম " pf" (ওপেনবিএসডি থেকে হিসাবে)।

pfঠিকানার টেবিলগুলির ধারণা রয়েছে যা আপনি যা খুঁজছেন তা হতে পারে।

আমি যে কিছু অত্যন্ত অভিসম্পূর্ণ গবেষণা করেছি তার মতে , এটির থেকে আরও ভাল স্কেল করার সম্ভাবনা রয়েছে বলে মনে হবে ipset। রানটাইম বিকল্পগুলির উপর পিএফএএফএএকের অধ্যায় অনুসারে , টিউন না করে বাক্সের বাইরে, পিএফ ডিফল্টভাবে সমস্ত টেবিল জুড়ে মোট 200,000 এন্ট্রি সহ মোট 1000 টি টেবিল সমর্থন করে। (যদি সিস্টেমের <100MB দৈহিক মেমরি থাকে তবে 100,000)। এটি আমাকে বিশ্বাস করতে পরিচালিত করে যে এটি কোনও ধরণের দরকারী স্তরে কাজ করে কিনা তা পরীক্ষা করার চেষ্টা করার বিষয়টি বিবেচনা করার পক্ষে অন্তত মূল্যবান।

অবশ্যই, আমি ধরে নিচ্ছি আপনি লিনাক্সে আপনার সার্ভারগুলি চালাচ্ছেন, সুতরাং আপনার একটি পৃথক ফায়ারওয়াল বাক্স পিএফ (যেমন ওপেনবিএসডি বা ফ্রিবিএসডি) সহ কিছু ওএস চালানো উচিত। আপনি যেকোন ধরণের স্টেটফুল প্যাকেট ফিল্টারিংয়ের মাধ্যমেও থ্রুপুট উন্নত করতে সক্ষম হতে পারেন।

আপনি FIB_HASH এর পরিবর্তে FIB_TRIE ব্যবহার করে তদন্ত করেছেন?

আপনার উপসর্গের গণনাগুলির জন্য FIB_TRIE এর আরও ভাল স্কেল করা উচিত। (/ 32 এর নাল রুটগুলি এখনও উপসর্গ, কেবল খুব নির্দিষ্ট)

এটি ব্যবহার করতে আপনার নিজের কার্নেলটি সংকলনের প্রয়োজন হতে পারে তবে এটি সহায়তা করে।

FIB_TRIE নোটস

উত্তরোত্তর জন্য: ipsetডক্স অনুসারে একটি সেটের ডিফল্ট আকার 65536 হয়, এটি বিকল্পগুলি দ্বারা পরিবর্তন করা যেতে পারে।

ম্যাক্সেম এই পরামিতিটি সমস্ত হ্যাশ প্রকারের সেটের তৈরি আদেশের জন্য বৈধ। এটি সর্বাধিক সংখ্যক উপাদান নির্ধারণ করে যা ডিফল্ট 65536 সেটে সংরক্ষণ করা যায় Example উদাহরণ:ipset create test hash:ip maxelem 2048.

আমি এটি এখানে রেখেছি কারণ আমি এখনও মন্তব্য করতে পারি না।

যে কেউ ভবিষ্যতে এই সমস্যাটির পিছনে হোঁচট খায় তার জন্য কিছু সহায়ক নোট:

প্রথমত, আপনার যে কোনও ট্র্যাফিকের প্রয়োজন নেই তা বিশ্লেষণ করবেন না। আপনি যদি টিসিপি ট্র্যাফিক ব্লক করে থাকেন, উদাহরণস্বরূপ, কেবলমাত্র এসওয়াইএন প্যাকেটগুলি ফিল্টার করুন, এইভাবে আপনি কেবল সংযোগ প্রতি একবার ফিল্টারটি হিট করেন। আপনি চাইলে ব্যবহার করতে পারেন -m stateতবে সংযোগ ট্র্যাকিংয়ের নিজস্ব ওভারহেড রয়েছে যা আপনি যদি পারফরম্যান্সের সমস্যা হয় তবে এড়াতে চাইতে পারেন।

দ্বিতীয়ত, ইপিটবেলে এক মিলিয়ন বিধি স্থাপন করতে দীর্ঘ সময় লাগে: কয়েক মিনিট। যদি আপনাকে অনেকগুলি সত্ত্বা ট্র্যাক করতে হয় তবে আপনি সম্ভবত এটি নেটফ্লিটারের বাইরে রাখবেন। রুলসেটের নিছক আকার একটি পার্থক্য করে।

তৃতীয়, লক্ষ্য লিনিয়ার স্ক্যানগুলি এড়ানো; তবে দুর্ভাগ্যক্রমে, iptables এবং iproute2 উভয়ই সহজাতভাবে রৈখিক। আপনি আপনার নিয়মগুলি বাইনারি-ট্রি-স্টাইলের বাইরে প্রচুর পরিমাণে শৃঙ্খলে বিভক্ত করতে পারেন যা আপনাকে পরামর্শ করার নিয়মের সংখ্যাকে সীমাবদ্ধ করে, তবুও, iptables এই আকারের সমস্যার পক্ষে উপযুক্ত নয়। এটি কাজ করবে , তবে এটি মূল্যবান সম্পদের অপচয় waste

চতুর্থ এবং সর্বোপরি, আপনার কাজের চাপটিকে ইউজারস্পেসে চাপানো কোনও খারাপ ধারণা নয়। এটি আপনাকে আপনার নিজের আঁট কোডটি লিখতে বা আপনার সমস্যা সেটটিতে সুরযুক্ত অফ-শেল্ফ সমাধান ব্যবহার করতে দেয়। এই সমস্যার আমার নিজস্ব সমাধানটি যেমন উল্লেখ করা হয়েছে, তা হ'ল বিডিবি লুকআপগুলি অ্যাপাচের মোড_প্রিট সিস্টেমের মাধ্যমে ট্রিগার করা ব্যবহার করা। এটিতে প্রতি সেশনে কেবলমাত্র একটি অনুসন্ধান শুরু করার অতিরিক্ত সুবিধা ছিল এবং কেবলমাত্র একটি বৈধ অনুরোধ জমা দেওয়ার পরে। এই ক্ষেত্রে, পারফরম্যান্স অত্যন্ত দ্রুত ছিল এবং ব্লকলিস্টের ব্যয় প্রায় নগন্য ছিল।

আপনি iptables -j QUEUEএর সাথে লক্ষ্য হিসাবে ব্যবহার করে অনুরূপ ইউজারস্পেস হেরফের করতে পারেন libnetfilter_queue। এই সরঞ্জামটি শক্তিশালী, সরল এবং দুর্বল নথিভুক্ত। যতটা সম্ভব আপনি খুঁজে পেতে পারেন উত্স থেকে যতটা সম্ভব পড়ার পরামর্শ দেব, কারণ ওয়েব জুড়ে প্রচুর আকর্ষণীয় উপাদান রয়েছে যা কোনও অফিসিয়াল ডকুমেন্টেশনের অংশ নয়।