iptablesとnftablesで25万ルール詰め込む場合の話
Posted on 2018/07/10(Tue) 23:45 in technical • Tagged with iptables, nftables, network, firewall, linux
iptablesはAPIが古い設計なので、フィルタルールの追加時には全データをユーザランドにコピーして、再ストアする動きをする。
そのため、ルール数が多くなるとフィルタルールの追加に時間がかかるようになる。
対して、Linuxの次期標準ファイアウォールアプリケーションとして開発されているnftablesはその点が解消されており、フィルタルールの追加が高速に行われるようになっている。
今日は25万個のルールを詰め込んでみて、その差を体感してみようと思う。
Continue reading