Question Quel est l’effet de iptables / ufw nier les filtres sur la charge du serveur?


Je me demande à quel point il est évolutif d’ajouter des adresses IP ou des sous-plages que je souhaite bloquer en ufw. Par exemple, je le fais chaque fois que je découvre un bot ou une batterie de serveurs particulièrement défectueux. Au fur et à mesure que ma liste s'allonge, je me demande combien de temps système je place sur le système. parce que maintenant chaque paquet doit être vérifié par rapport à cette liste.

Quelqu'un at-il une expérience avec une liste de blocage d’une certaine taille qui a commencé à causer une charge du système ou des ralentissements du réseau?

Y at-il quelque chose dans la documentation quelque part à ce sujet?

À l'heure actuelle, j'ai environ 15 règles. Y a-t-il un certain nombre de règles que je devrais rester en dessous?


5
2017-07-09 12:09


origine




Réponses:


Cela représente beaucoup moins de charge que d'essayer de gérer le trafic ... les grandes chaînes ont un impact sur les performances, mais avec un peu d'optimisation judicieuse (fractionnement du trafic en différentes chaînes), vous pouvez le garder sous contrôle.

Pour référence, j'ai un pare-feu iptables de règles de 20 000 $ qui fonctionne assez bien sous quelques centaines de Mbps de trafic ... Je ne pense pas que vous ayez à vous soucier de 15 règles.


7
2017-07-09 12:17