Linux Networking - Как динамически фильтровать сетевые пакеты в течение короткого промежутка времени

Aeternal

16.10.2022, 19:14

Я пытаюсь найти решение для динамической фильтрации сетевых пакетов со строгими временными ограничениями и на основе списка IP-адресов в операционной системе Linux.

Я не могу установить дополнительное программное обеспечение для модификации ядра или библиотек, например, для добавления модулей в iptables.

У меня есть оборудование, которое получает слишком много сетевых пакетов, и мне нужно найти способ динамической фильтрации сетевых пакетов с циклом 200 мс.

Например, допустим, у меня есть 3 IP-адреса (192.168.0.1,192.168.0.2,192.168.0.3) Мне нужно будет динамически менять каждые 200 мс конфигурацию iptable, чтобы заблокировать 1-й IP-пакет для 1-го цикла 200 мс, затем заблокировать вторые IP-пакеты для 2-го цикла 200 мс и т. д. и т. д.

Кто-нибудь знает какое-нибудь эффективное решение, учитывающее это жесткое ограничение по времени? Моя первая идея состоит в том, чтобы динамически изменять конфигурацию iptables, но я беспокоюсь о производительности и времени,

Кто-нибудь выполнял такую же работу или знает уже реализованное и работающее решение?

Большое спасибо за вашу помощь,

0 + 5

линукс

iptables

фильтрация

Håkan Lindqvist

16.10.2022, 19:26

Какую проблему призвано решить предлагаемое решение? Это кажется довольно странным и, вероятно, является [проблемой XY] (https://en.wikipedia.org/wiki/XY_problem). Тем не менее, я никогда не делал то, о чем, в частности, просит вопрос, но что касается динамически меняющихся адресов, я бы сказал, что [`ipset`](https://ipset.netfilter.org/ipset.man.html) может быть полезным. вместо изменения правил iptables.

Ответить

Aeternal

16.10.2022, 19:31

Большое спасибо за ваш комментарий! Я не знал ipset и посмотрю на него Это решение будет временным и направлено на «фильтрацию» сетевых пакетов для снижения нагрузки на процессор оборудования. В настоящее время он получает слишком много сообщений, и некоторые из них не предназначены для этого оборудования. Однако я не могу выполнить какую-либо фильтрацию l7, потому что в ядре отсутствуют соответствующие двоичные файлы или модули iptables.

Ответить

vidarlo

16.10.2022, 20:01

Похоже, вы хотите ограничить пропускную способность?

Ответить

Aeternal

16.10.2022, 21:58

После некоторого размышления я также думаю, что ограничитель скорости, использующий iptables для каждого IP-адреса, является лучшим и самым простым решением для реализации.

Ответить

asmath

17.10.2022, 04:46

правильно, вы можете просто использовать параметр ограничения в этом случае. (-m limit --limit count/minute --limit-burst ouny)

Ответить

Admin

Этот вопрос на других языках:

EN: Linux Networking - How to dynamically filter network packets within short time range

TH: Linux Networking - วิธีกรองแพ็กเก็ตเครือข่ายแบบไดนามิกภายในช่วงเวลาสั้นๆ

RO: Linux Networking - Cum se filtrează în mod dinamic pachetele de rețea într-un interval scurt de timp

RU: Linux Networking - Как динамически фильтровать сетевые пакеты в течение короткого промежутка времени

VI: Mạng Linux - Cách lọc động các gói mạng trong phạm vi thời gian ngắn

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.