 | iptables-tng.Die nächste Generation von iptables |
| Jetzt downloaden | |
iptables-tng. Ranking & Zusammenfassung
Anzeige
- Lizenz:
- GPL
- Preis:
- FREE
- Name des Herausgebers:
- Hamid Jafarian and Mahdi Hajimoradi
- Website des Verlags:
iptables-tng. Stichworte
iptables-tng. Beschreibung
Die nächste Generation von iptables Iptables-TNG ist eine Umgebung, die von einem anderen Paketklassifizierungsalgorithmus (z. B. Tupel) verwendet werden kann, um große Regelsets (mehr als 10.000 Regeln) für High Bandwidth-Netzwerke zu unterstützen. Haben Sie Probleme mit iptables? Kommen Sie und berechnen Sie den Netzwerkdurchsatz. Base auf meinen Tests Der Netzwerkdurchsatz mit iptables als Firewall kommt nach 1.000 Regeln schnell herunter. (Siehe den Test2) Um dieses Problem zu lösen, schrieb ich ein neues iptables. In dieser Version habe ich versucht, die Fähigkeit der Interaktivität neben der Fähigkeit, mehrere und verschiedene Klassifizierungsalgorithmen für jede Kette zu verwenden. In dieser Version kann eine Kette (z. B. Ausgang im Filter) von "linearer Klassifizierer" (wie der aktuellen Version) und anderer Kette (z. B. vorwärts in Filter) verwenden, kann von "Tupel" verwendet werden. Ich habe den gesamten Benutzerbereich und auch den Kernel geändert Platzcode von iptables (für IPv4). In dieser Version ist die Implementierung von Klassifizierungsalgorithmen wie Übereinstimmungen und Ziele, aber keine Benutzerraum-Implementierung (nur ein (oder mehr) Modul) .Two-Klassifizierungsalgorithmen, die implementiert sind, sind: linear und tupel. Linear ist wie aktuelle Version, aber das Tupel ist mehr und wirklich mächtig. Sie können ihr Verhalten in den Tests sehen. Durch diese Version können wir mehr Algorithmen entwickeln (z. B. HICUTS, Hypercuts, BV, ...) sehr einfach. Die Algorithmen verwendet HASH-Tabellen für Regelnspeicherung und verwendet auch von Hash-Funktion, um alle Regeln zu finden, die möglicherweise mit dem Paket übereinstimmen. In meiner Implementierung nach Erhalt eines Pakets finden Sie zunächst alle Regeln, die dem Paket übereinstimmen können. Dann werden nur diese Regeln sequenziell durchsucht, um die Regel / Regeln zu finden, die mit dem Paket übereinstimmen können. Eine wichtige Funktion in dieser Version ist "Ranking". Alle Regelnbasis an ihren Standorten (wird im Befehl "iptables" definiert, wenn der Benutzer eine Regel hinzufügen soll) in der Liste der Regeln einer Kette, erhalten Sie einen Rang. So schaffen die Regeln kein Problem, da der Algorithmus die Regel mit dem niedrigsten Rang aus den Regeln testen muss, die mit dem Paket entsprechen. So können die Benutzer sitzen und denken; "Die Regeln werden sequentiell gespeichert und auch sequentiell verarbeitet (wie aktuelle Version)". Neuer Code: In dieser Version wurde ich im Kernel "Linkliste" verwendet, anstatt Speicher (in der aktuellen Version) für Regelspeicherung und Definierte auch viele nützliche und wichtige Strukturen für "Tabelle", "Kette" und ... Dieser Code ist unterschiedlich und auch leicht zu verstehen, absolut zu verstehen.Alle der Regelverwaltungstätigkeiten werden in den Kernelraum (vom Benutzerraum, in Die aktuelle Version) .Ich hat versucht, einige Tests in der neuen Version auszuführen. Sie können diese Tests und deren Ergebnisse sehen, unterhalb.Neue "iptables" -Befunktion, die nicht geändert wird. "iptables-sparen" und "iptables-restore" werden angenommen. Sie können "Spiele" und "Ziele" wie zuvor verwenden und entwickeln. Hier sind einige wichtige Funktionen von "iptables-tng": Alle Ketten können Richtlinien erhalten: · Gegen die aktuelle Version können die Benutzerketten von eingebauten Ketten poliziert werden. Alle Ketten können als Ziel verwendet werden: · Sie können von jeder Kette als Regelziel von jeder Kette an sie verwenden. Gegen die aktuelle Version, die Sie nur von Benutzerketten als Ziel verwenden sollen. Alle Ketten haben eine Referenznummer: · Dadurch definiert die Anzahl der Referenzen auf die Kette (d. H. Anzahl der Regeln, die es als Ziel verwenden). Bei der Löschzeit muss diese Zahl Null sein (wenn nicht und Sie versuchen, die Kette zu löschen. Sie erhalten eine Fehlermeldung von iptables). Rückgabe kann Regelziel sein: · Wie an der aktuellen Version, in den genannten Ketten (Kinderketten: als Ziel in einem der Regeln der Elternkette referenziert), Ursache, um zum Anrufer (Elternkette) zurückzukehren, und in den gebauten Ketten wird die Kettenrichtlinie verwendet für das übereinstimmende Paket. Rückgabe kann Kettenrichtlinien sein: · Gegen die aktuelle Version. In den angerufenen Ketten (Kinderketten), diese Ursache, um zum Anrufer (Elternkette) zurückzukehren, aber in den integrierten Ketten bedeutet dies, dass dies fallen. Sie können den Kettenklassifizierer ändern: · Mit -C-Option im Befehl iptables. Zum Beispiel: iptables -c-Eingangs-Tupel. Sie können dies jedes Mal tun. Durch diese Option, Base auf der Anzahl der Regeln in den Ketten; Sie können den besten Klassifizierungsalgorithmus für diese Kette auswählen und zwingen, das zu verwenden. Was ist neu in dieser Version: · Verwenden von Kernel-2.6.25 · Iptables-1.4.1
iptables-tng. Zugehörige Software
