OpenVZ Forum


Home » International » German » route vs iptables (Was ist besser)
route vs iptables [message #51565] Mon, 28 July 2014 15:22
Detlef is currently offline  Detlef
Messages: 2
Registered: July 2014
Junior Member
Es geht hier um massenhafte Abfilterung von blackgelisteten IPs in mehreren Containern:

iptables - Rules sind durch numiptent in den Containern begrenzt. Sie benötigen Kernel-Speicher und daher soll lt. Doku möglichst wenige numiptent als Max-Werte gesetzt werden. Was verbraucht eine iptables-Regel an Resourcen?

Mit route dagegen, lassen sich viele Wegrouting-Regeln erstellen. Benötigen diese aber keinen Kernel-Speicher? Was verbraucht hier eine route-Regel an Resourcen?

Wenn wir jetzt mal 20000 IPs betrachten, die wir blocken wollen und dies auch noch auf verschiedenen Containern, wie wirken sich die Verwendungen von iptables vs route im Host aus? Was ist schneller, was verbraucht mehr Resourcen?

Wenn wir davon ausgehen, daß wir route verwenden, so können diese auch im Host für alle Container setzen, aber dann wären die Kunden-Container ggf. alle von diesen blackgelisteten IPs gesperrt. Würde dies schneller ablaufen? Würde dies weniger Resourcen verbrauchen? und unter Umständen, greifen diese Routings gar nicht, weil diese z.B. in Verbindung mit MAC dennoch durch geroutet werden.

Warum ich dies jetzt erfrage, hat auch einen entscheidenden Hintergrund, denn routing hat sich zum Blocking vs iptables vorher bei uns ganz gut durch gesetzt und funktionierte einwandfrei. Plesk 12.x bringt nun aber fail2ban mit und hier wird die IP-Filterung wieder nur auf iptables angeboten! Die Frage stellt sich also, warum verwenden die iptables statt route?

Ich freue mich dann auf interessante Ausführungen - Liebe Grüße

Detlef

Previous Topic: Script-Fehler im Clone-Script
Next Topic: Bridge 2 IPs - Einrichtungsprobleme
Goto Forum:
  


Current Time: Thu Mar 28 12:46:22 GMT 2024

Total time taken to generate the page: 0.01669 seconds