Netfilter／Iptables性能优化探究.pdfVIP

NetfiIter／IptabI6S性能优化探究 孙爱爱 (武汉邮电科学研究院，武汉 430074) 摘要 ：Netfilter／iptables系统是Linux下的一个功能强大的防火墙系统，本文主要分析 iptables的工作原理以及数据包 通过 iptables的流程，接着分析了影响iptables性能的因素，最后在此基础上提出几种简单的方法来优化 iptables防火墙 的性能，以达到解决防火墙性能瓶颈问题的目的。 关键词 ：iptables；防火墙 ；性能优化 【中图分类号】TP393．08 【文献标识码】A ResearchonOptimizationofNetfflter／IptablesPerformance Sun Aiai (WuhanResearch InstituteofPostsandTelecommunications，Wuhan430074，China) Abstract：Netfilter／Iptablesisafirewal1systembasedOnLinuxwhichhasagreatfunction．Thispaperis aimed at studying the principle of iptables， and analyzing the process how data packets pass through the iptables．Then thepaper also analyzesthefactorswhich influence theperformanceof iptables． In the end， put forward severalSimple methods to optimize theperformance of the iptablesfirewal1 inorder to resolve thebottlenecks in firewal1performance． Keywords：firewal1：iptables：performance optimization O 引言 iptables包 含 四个 表，五 个 链。表 和 链 实 际上 是 netfilter的两个维度 。四个表的处理优先级从高到低依次 防火墙的功能是限制非法流量，保护 内网。看一个防火墙 是raw、mangle、nat、fi1ter。五条链分别是 PREROUTING、 是否成功，应该从它是不是瓶颈来考虑，所 以避免防火墙成为 INPUT、FORWARD、OUTPUT、P0STR0UTING。 瓶颈就需要通过提高它的性能来解决。iptables主要通过各 Filter表，是默认的表，它包括 INPUT链、OUTPUT链 以 个表中的有序规则链对网络数据包进行过滤和筛选，从而有效 及FORWARD链。Nat表主要是做网络地址转换，它有三种 内 抵制网络入侵与攻击 [1]。本文先对 iptables的四个表五个 建链 ，PREROUTING链 通常用 于DNAT；POSTROUTING会通 过 链 以及对经过 iptables的数据包的流程作简要的分析，然后 SNAT和MASQUERADE两种方式转换源 IP地址 ；OUTPUT是处 提 出几种简单的方法来提高防火墙的性能。