Mạng Linux - Cách lọc động các gói mạng trong phạm vi thời gian ngắn

Aeternal

19:14, 16/10/2022

Tôi đang cố gắng tìm giải pháp để lọc động các gói mạng với các ràng buộc về thời gian nghiêm ngặt và dựa trên danh sách IP trên Hệ điều hành Linux

Tôi không thể cài đặt thêm phần mềm sửa đổi kernel hoặc thư viện để thêm mô-đun vào iptables chẳng hạn

Tôi có một thiết bị nhận quá nhiều gói mạng và tôi cần tìm cách lọc các gói mạng một cách linh hoạt với chu kỳ 200ms.

Ví dụ: giả sử tôi có 3 IP (192.168.0.1,192.168.0.2,192.168.0.3) Tôi sẽ cần tự động thay đổi cấu hình iptable cứ sau 200 mili giây để chặn các gói IP thứ nhất trong chu kỳ 200 mili giây đầu tiên, sau đó chặn các gói IP thứ hai trong chu kỳ 200 mili giây thứ 2, v.v.

Có ai biết bất kỳ giải pháp hiệu quả nào có tính đến hạn chế thời gian nghiêm ngặt này không? Ý tưởng đầu tiên của tôi là tự động thay đổi cấu hình iptables nhưng tôi lo ngại về hiệu suất và thời gian,

Có ai đã thực hiện cùng một loại công việc hoặc biết một giải pháp đã được triển khai và hoạt động không?

Cảm ơn sự giúp đỡ của bạn,

0 + 5

linux

iptables

lọc

Håkan Lindqvist

19:26, 16/10/2022

Vấn đề mà giải pháp đề xuất này nhằm giải quyết là gì? Nó có vẻ khá lạ và có khả năng là [sự cố XY](https://en.wikipedia.org/wiki/XY_problem). Điều đó nói rằng, tôi chưa bao giờ làm những gì câu hỏi yêu cầu cụ thể nhưng liên quan đến địa chỉ thay đổi động, tôi sẽ nói [`ipset`](https://ipset.netfilter.org/ipset.man.html) có thể hữu ích thay vì thay đổi các quy tắc iptables.

Hồi đáp

Aeternal

19:31, 16/10/2022

Cảm ơn rất nhiều về lời bình luận của bạn ! Tôi không biết ipset và sẽ xem xét nó Giải pháp này sẽ là tạm thời và nhằm mục đích "lọc" các gói mạng để giảm tải cho cpu của thiết bị. Nó hiện đang nhận được quá nhiều tin nhắn và một số trong số chúng không dành cho thiết bị này. Tuy nhiên, tôi không thể thực hiện bất kỳ bộ lọc l7 nào vì tôi thiếu các mô-đun nhị phân hoặc iptables thích hợp trong kernel

Hồi đáp

vidarlo

20:01, 16/10/2022

Có vẻ như bạn muốn giới hạn thông lượng?

Hồi đáp

Aeternal

21:58, 16/10/2022

Sau một hồi suy nghĩ, tôi cũng nghĩ rằng bộ giới hạn tốc độ sử dụng iptables trên cơ sở mỗi IP là giải pháp tốt nhất và dễ thực hiện nhất

Hồi đáp

asmath

04:46, 17/10/2022

đúng, bạn chỉ cần sử dụng tùy chọn giới hạn trong trường hợp này. (-m giới hạn --limit đếm/phút --limit-burst oany)

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Linux Networking - How to dynamically filter network packets within short time range

TH: Linux Networking - วิธีกรองแพ็กเก็ตเครือข่ายแบบไดนามิกภายในช่วงเวลาสั้นๆ

RO: Linux Networking - Cum se filtrează în mod dinamic pachetele de rețea într-un interval scurt de timp

RU: Linux Networking - Как динамически фильтровать сетевые пакеты в течение короткого промежутка времени

VI: Mạng Linux - Cách lọc động các gói mạng trong phạm vi thời gian ngắn

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.