[发明专利]一种高效的ip地址匹配方法

说明书

技术领域

本发明涉及Iptables/Netfiler领域，尤其涉及一种高效的ip地址匹配方法。

背景技术

Iptables/Netfilter作为Linux系统的防火墙实现，除了提供基本的包过滤功能外，也实现了诸如连接追踪、NAT等高级的网络功能。Iptables/Netfilter通过顺序匹配用户定义的规则集，来实现对数据包的处理。规则集中的规则由<match,target>两部分组成，match描述匹配条件，target表示匹配match时对数据包执行的操作。实际的网络环境中，数据包的匹配条件里，ip地址的匹配是最为基础，匹配最频繁一种操作。

Iptables每条规则可以在match部分指定以个ip地址+子网掩码的方式实现ip地址的匹配。这种方式在简单的网络环境中具有易于理解、方便配置等优点。但在复杂的网络环境种，往往具有较多的子网，这就需要大量的iptables的规则来进行配置。

由于netfilter是顺序执行规则集中的规则，这种规则的增加会明显的降低netfilter的性能。而且在需要对单个ip或无法用掩码表示的ip段时配置时，则会进一步增加规则的数量。

发明内容

本发明实施例提供了一种高效的ip地址匹配方法和装置，通过iptables中建立新的ip结构ip-range，使得在一条规则中表述大量的ip匹配信息，以减少iptables规则数量，提高iptables的匹配规则，解决了现有的iptables规则过多造成明显降低netfilter性能和需要对单个ip或无法用掩码表示的ip段时配置时进一步增加规则数量的技术问题。

本发明实施例提供了一种高效的ip地址匹配方法，包括：

通过预置的若干组ip最小值和ip最大值在Iptables模块中建立若干个相应的ip结构ip-range；

将若干个所述ip结构ip-range传递至netfilter；

netfilter根据接收到的若干个所述ip结构ip-range对需要处理的数据包中的ip地址进行匹配。

优选地，

在通过预置的若干组ip最小值和ip最大值在Iptables模块中建立若干个相应的ip结构ip-range之后，在将若干个所述ip结构ip-range传递至netfilter之前还包括：

在Iptables模块中对有重复或者有重叠的所述ip结构ip-range进行合并。

优选地，

在在Iptables模块中对有重复或者有重叠的所述ip结构ip-range进行合并之后，在将若干个所述ip结构ip-range传递至netfilter之前还包括：

对合并后的若干个所述ip结构ip-range进行排序。

优选地，

对合并后的若干个所述ip结构ip-range进行排序具体为：

对合并后的若干个所述ip结构ip-range进行升序排列。

优选地，

netfilter根据接收到的若干个所述ip结构ip-range对需要处理的数据包中的ip地址进行匹配具体为：

netfilter对需要处理的数据包中的ip地址分别在接收到的若干个所述ip结构ip-range中通过二分查找进行匹配。

本发明实施例提供了一种高效的ip地址匹配装置，包括：

结构建立单元，用于通过预置的若干组ip最小值和ip最大值在Iptables模块中建立若干个相应的ip结构ip-range；

传递单元，用于将若干个所述ip结构ip-range传递至netfilter；

netfilter匹配单元，用于根据接收到的若干个所述ip结构ip-range对需要处理的数据包中的ip地址进行匹配。

优选地，

所述高效的ip地址匹配装置还包括：

合并单元，用于在Iptables模块中对有重复或者有重叠的所述ip结构ip-range进行合并。

优选地，

所述高效的ip地址匹配装置还包括：

排序单元，用于对合并后的若干个所述ip结构ip-range进行排序。

优选地，

所述排序单元具体用于：

对合并后的若干个所述ip结构ip-range进行升序排列。

优选地，

所述netfilter匹配单元具体用于：