Верхний предел количества правил, которые nftables может реально обработать
Для тех, кто использует Mac (не оригинальный плакат )есть очень хороший инструмент под названием Monodraw . Конечно, вы заплатите несколько долларов за тот факт, что он тщательно отполирован, мощен и интуитивно понятен, но если вы часто этим занимаетесь, то это удобный инструмент, и 10 долларов — это гроши по сравнению со временем, которое вы спасти. Если вы не делаете это часто, есть бесплатная пробная версия, так что все готово. Он даже может экспортировать в SVG
Нет, я не работаю в компании. Я просто счастливый пользователь.
Я ни в коем случае не эксперт, так как на наших серверах меньше сотни правил, но такая установка с, как вы сказали, десятками тысяч правил звучит как рецепт катастрофы или странных проблем с производительностью.Вполне возможно, что nftables на вашем HW сможет справиться с таким количеством правил, но на вашем месте я бы все переосмыслил, чтобы все стало более управляемым. Возможно, используйте облегченную виртуализацию, например. докер или что-то подобное.
Мне не удалось найти точный ответ на ваш вопрос, но, например, Red Hat столкнулся со значительным падением производительности всего за 1000 правил:
- https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables
- https://developers.redhat.com/blog/2020/04/27/optimizing-iptables-nft-large-ruleset-performance-in-user-space
- http://his.diva-portal.org/smash/get/diva2:1212650/FULLTEXT01.pdf
Red Hat рекомендует использовать наборы, которые могут помочь справиться с экстремальными случаями, подобными вашему.