iptables的问题和改进方案

最新推荐文章于 2023-06-14 14:35:29 发布
最新推荐文章于 2023-06-14 14:35:29 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Network 文章标签: kubernetes docker linux
原文链接:https://cloud.tencent.com/developer/article/1484793
版权

转自:DPDK and XDP - 云+社区 - 腾讯云iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制。新版本的内核(3.13+)也提供了nftables,用于取代ip...icon-default.png?t=LA92https://cloud.tencent.com/developer/article/1484793

iptables规则逐渐增加,遍历iptables效率变得很低,一个表现就是kube-proxy,他是Kubernetes的一个组件,容器要使用iptables和-j DNAT规则为服务提供负载均衡。随着服务增加,iptable的规则列表指数增长。随着服务数量的增长,网络延迟和性能严重下降。iptables的还有一个缺点,无法实现增量更新。每次添加新规则时,必须更新整个规则列表。一个例子:装配2万个Kubernetes服务产生16万条的iptables规则需要耗时5个小时。

在容器环境下还有一个问题:容器的生命周期可能很多,可能一个容器的生命周期只有几秒,意味着iptables规则需要被快速更新,这也使得依靠使用IP地址进行安全过滤的系统受到压力,因为集群中的所有节点都必须始终知道最新的IP到容器的映射。

一个解决方案是BPF,Cilium项目就利用了这种技术.

 

利用BPF构建的bpfilter性能远高于iptables和nftables, linux内核社区的Florian Westphal提出了一个运行在bpfilter上框架,通过框架并将nftables转换为BPF。框架允许保持特定领域nftables语句,而且还可以带有JIT编译器,硬件卸载和工具集等BPF运行时的所有优点。

 

天马行空_xaut
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 规则对性能的影响
frankwangzy1103的专栏
07-20 8649
最近测试了下,iptables有很多的filter input规则的情况下,会对mysql本身的性能的影响. 数据准备: 创建iptable filter 规则 iptables -t filter -N RULEADMIN iptables -t filter -I RULEADMIN -s 10.250.14.0/24  -j ACCEPT iptables -t f
网络安全整改报告。。。。
05-20
以上是对网络安全整改报告中的三个关键问题进行的详细解析。针对Traceroute探测,通过禁用特定ICMP包的方法防止攻击者获取网络拓扑信息;对于ICMP时间戳检测,禁用了ICMP_TIMESTAMP请求和响应,避免了潜在的时间攻击...
Centos iptables防火墙添加近20W规则后引发的问题以及解决方案
JAVA拾贝
06-14 248
最近在优化服务器,防止ddos攻击,收集了网络上大量的恶意IP,添加进iptables后发现电脑卡顿严重,网络响应慢~排查后发现是ip_conntrack跟踪连接不够了,默认max=65536, 所以需要优化调整配置。vi /etc/sysctl.conf 修改或添加下面的代码。然后重启iptables即可。
iptables
weixin_30284355的博客
07-14 105
一、防火墙优缺点 1、优点 拒絕讓 Internet 的封包進入主機的某些埠口 拒絕讓某些來源 IP 的封包進入 拒絕讓帶有某些特殊旗標 (flag) 的封包進入 分析硬體位址 (MAC) 來決定連線與否 2、缺点 防火牆並不能很有效的抵擋病毒或木馬程式 防火牆對於來自內部 LAN 的攻擊較無承受力 二、封包进入防火墙的流程:规则顺序的重要性! 『规则是有顺序的』! 当...
iptables 详解
weixin_34239592的博客
07-22 269
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP-A INPUT -p tcp -m tcp --t...
iptables性能前端优化-无压力配置1w+条规则
热门推荐
Netfilter
08-27 3万+
产生本文的故事这显然是个周末,这是一个下雨的周末,这是一个台风登陆的周末…  上周,有一个很猛的台风“天鸽”,当天红警晚发了两个小时,当发布红警时,几乎所有人都到了公司,当然,除了那些怕西装和皮鞋被雨淋湿的经理。我本来是想特别感谢一下这个台风的,然而它已经造成了重大的人员伤亡,无论如何,我都不能再对它多说一句褒义的话,我是一个喜欢风雨的人,仅诠释我个人。  在台风“天鸽”将至的那晚,我把一个在暴热和
iptables小结
weixin_53139887的博客
01-10 408
基本概念 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: 硬件防火墙:拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬
JSP源码JSP基于Iptables图形管理工具的设计与实现(源代码+论文)
03-09
- **日志记录**:记录所有操作日志,方便后期审计和问题排查。 - **权限控制**:根据不同用户角色分配相应的操作权限,确保系统安全性。 #### 4. 实现步骤 1. **需求分析**:明确用户需求和技术限制,制定详细的...
详解java 客户端链接不上redis解决方案
08-31
Java客户端无法连接到Redis服务器可能由多种原因引起,本文将深入探讨这个问题并提供相应的解决方案。首先,我们需要确保Redis服务器本身已经正确启动,并且可以从其他系统访问。以下是一些常见的问题和排查步骤: ...
thor-firewall-logger:通过nflog netlink和ulogd2 userspace守护程序记录基于sql的防火墙事件。 改进的sql方案,可节省空间。 使用专用sql用户的多主机日志聚合
05-01
通过和用户空间守护程序记录防火墙事件 _____ _ _ ___ ____ _____ _ _ _ |_ _| | | |/ _ \| _ \ | ___(_)_ __ _____ ____ _| | | | | | |_| | | | | |_) |____| |_ | | '__/ _ \ \ /\ / / _` | | | | | | _ | |_...
通过负载均衡架构实现统一发布容器业务.docx
10-11
民生银行的实践表明,通过负载均衡架构可以有效地解决这一问题,实现功能、变更和运维的统一。 **一、标准容器业务发布方式的挑战** 1. **Nodeport和Ingress** - **Nodeport**:K8S通过创建Nodeport类型的Service...
iptables模拟网络连接问题并分析
adrninistrat0r的博客
03-02 2049
1.前言 相关内容如下: Windows抓包与网络分析工具总结: Linux抓包与网络分析工具总结: Java程序网络连接分析方法总结: iptables模拟网络连接问题并分析: 2.问题分类 在开发过程中,经常发生的网络连接失败包括:连接拒绝、连接超时、读返回超时等,以下主要分析这些比较常见的异常。 3.Linux网络请求与防火墙命令 以下使用Linux版本为2.6...
Linux桥设备以及iptables的效率的一些问题
系统运维
03-03 206
一.组播和网桥 1.一般的IP服务都是和底层的网卡设备没有关系的,完全由路由来决定,但是组播除外,因为组播需要将一个网卡显式的加入到一个组播组当中,一边该接口可以接收组播包,因此IP层和链路层就联系了起来。2.使能桥接的系统上,由broute来判断数据包将此设备当成一个桥设备还是一个路由器设备,如果当成路由器设备,那么桥的概念对于此数据包将彻底消失,如果当成桥设备,那么即使本地接收的情况下,IP层...
iptables防攻击
aoli_shuai的博客
01-11 563
iptables 防止cc攻击 connlimit模块 作用:限制每一个客户端ip的并发连接数 参数:–connlimit-above n #限制并发个数 使用: iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT limit 模块 作用:限速,控制流量 参数:–limit-b...
iptables防火墙
Shengyun996的博客
04-06 157
iptables 规则 安全防护技术 入侵检测与管理系统:特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主 入侵防御系统:以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式 防火墙(FireWall):隔离功能,工作在网络或主机...
iptables详解
m0_60433728的博客
08-20 557
iptables简介:、 iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率,iptables属于“用户态”的防火墙管理体系。 ——iptables常用选项: -L查看规则 -F清除所有规则,留下默认规则 -t指定表 --line-numbers显示规则排列序号 -A添加规则到指定链的结尾 -I添加规则到指定链的开头 -D删除指定规则 -p添加协议:例如tcp udp --dport目的端口 -
firewalld和iptables
最新发布
06-15
Firewalld和iptables都是Linux系统中用于网络访问控制和防火墙配置的工具,但它们属于不同的时代和技术栈。 **1. Iptables**: - Iptables是早期Linux内核自带的一种动态包过滤防火墙,它是基于netfilter框架的。 - Iptables通过规则表(tables)和链(chains)来定义网络流量的处理策略,比如拒绝、接受或转发。 - 用户可以通过iptables命令行工具来添加、修改或删除规则。 - Iptables在不同的Linux发行版中可能有所不同,但基本概念是一致的。 **2. Firewalld**: - Firewalld是后来发展起来的一个现代化的防火墙管理系统,它是基于libfirewalld库实现的。 - Firewalld采用策略性的防火墙模型,提供了更直观的图形界面和简化了管理流程,支持动态规则管理和端口转发。 - 它将规则划分为服务、端口和服务组合等多个维度,简化了配置并支持区(zones)的概念,不同区域有不同的安全级别。 - Firewalld还支持IPv4和IPv6,并能自动维护一些规则,如SSH和HTTP服务的默认规则。 **相关问题**: 1. Iptables和Firewalld的主要区别是什么? 2. 如何在Linux上检查当前的iptables状态? 3. 如何在Firewalld中创建一个新的服务规则? 4. 在旧版本的Linux中如何迁移现有的iptables规则到Firewalld? 5. Firewalld的自动规则更新是如何工作的?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值