Рейтинг:0

Linux Networking - Как динамически фильтровать сетевые пакеты в течение короткого промежутка времени

флаг cl

Я пытаюсь найти решение для динамической фильтрации сетевых пакетов со строгими временными ограничениями и на основе списка IP-адресов в операционной системе Linux.

Я не могу установить дополнительное программное обеспечение для модификации ядра или библиотек, например, для добавления модулей в iptables.

У меня есть оборудование, которое получает слишком много сетевых пакетов, и мне нужно найти способ динамической фильтрации сетевых пакетов с циклом 200 мс.

Например, допустим, у меня есть 3 IP-адреса (192.168.0.1,192.168.0.2,192.168.0.3) Мне нужно будет динамически менять каждые 200 мс конфигурацию iptable, чтобы заблокировать 1-й IP-пакет для 1-го цикла 200 мс, затем заблокировать вторые IP-пакеты для 2-го цикла 200 мс и т. д. и т. д.

Кто-нибудь знает какое-нибудь эффективное решение, учитывающее это жесткое ограничение по времени? Моя первая идея состоит в том, чтобы динамически изменять конфигурацию iptables, но я беспокоюсь о производительности и времени,

Кто-нибудь выполнял такую ​​же работу или знает уже реализованное и работающее решение?

Большое спасибо за вашу помощь,

флаг cn
Какую проблему призвано решить предлагаемое решение? Это кажется довольно странным и, вероятно, является [проблемой XY] (https://en.wikipedia.org/wiki/XY_problem). Тем не менее, я никогда не делал то, о чем, в частности, просит вопрос, но что касается динамически меняющихся адресов, я бы сказал, что [`ipset`](https://ipset.netfilter.org/ipset.man.html) может быть полезным. вместо изменения правил iptables.
Aeternal avatar
флаг cl
Большое спасибо за ваш комментарий! Я не знал ipset и посмотрю на него Это решение будет временным и направлено на «фильтрацию» сетевых пакетов для снижения нагрузки на процессор оборудования. В настоящее время он получает слишком много сообщений, и некоторые из них не предназначены для этого оборудования. Однако я не могу выполнить какую-либо фильтрацию l7, потому что в ядре отсутствуют соответствующие двоичные файлы или модули iptables.
vidarlo avatar
флаг ar
Похоже, вы хотите ограничить пропускную способность?
Aeternal avatar
флаг cl
После некоторого размышления я также думаю, что ограничитель скорости, использующий iptables для каждого IP-адреса, является лучшим и самым простым решением для реализации.
asmath avatar
флаг cn
правильно, вы можете просто использовать параметр ограничения в этом случае. (-m limit --limit count/minute --limit-burst ouny)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.