IPTables-TNG La próxima generación de IPTables
Descargar ahora

IPTables-TNG Clasificación y resumen

IPTables-TNG Etiquetas

red cortafuegos iptables Firewall de red iptables ng

IPTables-TNG Descripción

La próxima generación de IPTables. IPTables-TNG es un entorno que puede usar desde diferentes algoritmos de clasificación de paquetes (por ejemplo, Tuple) para admitir grandes reglas (más de 10,000 reglas) para las redes de ancho de banda altas. ¿Tiene algún problema con IPTables? Venga y calcule el rendimiento de la red. Base en mis pruebas El rendimiento de la red con IPTables, como firewall, se reduce rápidamente después de 1,000 reglas. (Consulte el Test2) Para resolver este problema, escribí un nuevo IPTables. En esta versión, intenté crear la capacidad de interactividad al lado de la capacidad de usar algoritmos de clasificación múltiples y diferentes para cada cadena. En esta versión, una cadena (por ejemplo, salida en el filtro) puede usar desde "Clasificador lineal" (como de la versión actual) y otra cadena (por ejemplo, hacia adelante en el filtro) puede usar desde "tuple" .i cambió todo el espacio del usuario y también kernel Código de espacio de IPTables (para IPv4). En esta versión, la implementación de algoritmos de clasificación es similar a coincidencias y objetivos, pero no tiene implementación del espacio de usuario (solo un (o más) módulo) .two algoritmos de clasificación, que se implementan, son: lineal y tupla. Lineal es como de la versión actual, pero la tupla es más y realmente poderosa. Puedes ver sus comportamientos en las pruebas. Por esta versión podemos desarrollar más algoritmos (por ejemplo, HiCuts, Hipervuts, BV, ...) Muy Easy.Tuple Algorithms usa tablas hash para el almacenamiento de reglas y también utiliza la función HASH para encontrar todas las reglas que pueden coincidir con el paquete. En mi implementación después de recibir un paquete, al principio, se encuentran todas las reglas que pueden coincidir con el paquete. Luego, solo estas reglas se buscan secuencialmente para encontrar la regla / reglas que pueden coincidir con el paquete. La característica importante en esta versión es "Ranking". Toda la base de reglas en sus ubicaciones (se define en el comando "IPTables" cuando el usuario agrega una regla) en la lista de las reglas de una cadena, obtenga un rango. Por lo tanto, las reglas no crean ningún problema porque el algoritmo debe probar la regla con el rango más bajo de las reglas que pueden coincidir con el paquete. Así, los usuarios pueden sentarse y pensar; "Las reglas se almacenan secuencialmente y también se procesan secuencialmente (como la versión actual)". Nuevo código: en esta versión se usó "Lista de enlaces" S en el kernel, en lugar de continúa la memoria (en la versión actual) para el almacenamiento de reglas y También definió muchas estructuras útiles e importantes para "tabla", "cadena" y .... Este código es diferente, completamente y también fácil de entender absolutamente. Todas las actividades de administración de reglas se transfieren al espacio del kernel (desde el espacio del usuario, en La versión actual) .i Intenté realizar algunas pruebas en la nueva versión. Puede ver estas pruebas y sus resultados, a continuación. Nuevo comando "IPTables" no se ha cambiado. Se adoptan "iptables-save" y "iptables-restaurar". Puede usar y desarrollar "coincidencias" y "objetivos" como antes. Aquí hay algunas características clave de "IPTables-TNG": Todas las cadenas pueden obtener la política: · Contra la versión actual, las cadenas de usuario como las cadenas incorporadas pueden obtener políticas. Todas las cadenas se pueden utilizar como objetivo: · Puede usarlo de cada cadena a referencia a ellos como objetivo de regla. Contra la versión actual que debe usar solo desde las cadenas de usuario como objetivo. Todas las cadenas tienen número de referencia: · Esto define el número de referencias a la cadena (es decir, número de reglas que lo usan como objetivo). En la hora de eliminación, este número debe ser cero (si no, si no intenta eliminar la cadena; recibirá un mensaje de error de IPTables). El retorno puede ser objetivo de la regla: · Me gusta la versión actual, en las cadenas llamadas (cadenas infantiles: referenciada como objetivo en una de las reglas de la cadena de padres), causa para volver a la persona que llama (cadena de padres) y en las cadenas de construcción, se utilizará la política de cadena. para el paquete coincidente. La devolución puede ser la política de la cadena: · Contra la versión actual. En las cadenas llamadas (cadenas infantiles), esta causa para volver a la persona que llama (cadena de padres), pero en las cadenas incorporadas, esto significa caer. Puedes cambiar el clasificador de cadena: · Con -c opción en el comando iptables. Por ejemplo: IPTables -C entrada tupla. Puedes hacer esto cada vez. por esta opción, base sobre el número de reglas en las cadenas; Puede seleccionar el mejor algoritmo de clasificación para esa cadena y obligarlo a usar eso. ¿Qué hay de nuevo en este lanzamiento: · Usando el kernel-2.6.25 · IPTables-1.4.1

IPTables-TNG Software relacionado