iptables简单规则性能测试

近日,收到一个需求,需要对iptables的性能进行测试,确定是否能够在一些场景替换掉硬件防火墙(F5)。由于测试在内网进行,这里仅贴出测试方案和测试结果。

测试方案

首先使用脚本生成6w个左右的iptables黑名单规则

生成的规则如下

将这些规则写入到被测服务器的iptables中。

然后在LoadRunner中建立测试ip池,地址范围为192.100.0.1 ~ 192.100.1.255共计510个。使用LR以100个的并发选择测试ip池中的ip对被测服务器进行访问。

测试结果

  1. 测试ip池中的所有访问请求均得到超时返回。即防火墙有效
  2. 测试过程中,使用top命令观察系统负载抖动<0.01。即未产生较高负载
  3. 使用黑名单以外的ip访问被测服务器80端口,得到httpd的正确返回。即未影响到正常服务。

局限性

  • 仅对简单的drop规则
  • 仅测试简单的连接
  • 仅测试静态页面
  • 规模较小

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注