Я хотел бы спросить, какова производительность iptables.
Допустим, я занесу в белый и черный список некоторые IP-адреса, я блокирую около 10 000+ IP-адресов, поэтому каждый IP-адрес похож на новое правило.
Я не знаю, насколько это быстро, потому что, допустим, кто-то DDoS-атакует меня шириной в несколько Гбит / с, может ли iptables справиться с этим?
ЦП: 1 ядро Intel ® Xeon® E5-2650L v4
А можно ли сделать iptables быстрее? Например, я бы «связал» все эти IP-адреса в одно правило.
DDoS меня ширина полосы пропускания в несколько Гбит / с, может ли iptables с этим справиться?
Iptables может обрабатывать все, что угодно, если вы даете ему достаточно ресурсов для работы, и он, вероятно, в любом случае прослужит дольше вашего физического соединения.
можно ли сделать iptables быстрее? Например, я бы «связал» все эти IP-адреса в одно правило.
Это называется суммированием адресов, и да, вы можете это сделать.
Iptables очень эффективен, если вы хотите протестировать это, я бы, вероятно, посоветовал разрешить все, поместить машину в частную сеть и настроить загрузчик. Какова загрузка системного процесса при 1 Гбит / с? что это 2, 3, 4 и так далее? И от них получить представление о том, что Iptables может, а что нет.
Если вы действительно подвергаетесь атаке отказа в обслуживании, когда трафик достигает хоста, уже слишком поздно. Они уже использовали вашу пропускную способность. Смотрите наши канонический вопрос о предотвращении DoS и DDoS атак.
Используйте брандмауэр хоста, чтобы предотвратить сканирование ваших приложений небольшим количеством надоедливых клиентов. Используйте поставщиков услуг со службами миграции DDoS, скрубберами CDN и большой пропускной способностью для противодействия крупным атакам.