Назад | Перейти на главную страницу

Как влияют фильтры запрета iptables / ufw на загрузку сервера?

Мне интересно, насколько масштабируемым является добавление IP-адресов или поддиапазонов, которые я хочу заблокировать в ufw. Например, я делаю это всякий раз, когда обнаруживаю особенно плохого бота или ферму серверов. По мере того, как мой список растет, мне интересно, сколько накладных расходов я возлагаю на систему; потому что теперь каждый пакет нужно проверять по этому списку.

Есть ли у кого-нибудь опыт работы со списком блокировки определенного размера, который стал вызывать загрузку системы или замедление работы сети?

Есть ли что-нибудь в документации по этому поводу?

Сейчас у меня около 15 правил. Есть ли ряд правил, по которым я должен оставаться ниже?

Это намного меньше нагрузки, чем попытка обслуживания трафика ... большие цепочки влияют на производительность, но с небольшой разумной оптимизацией (разделением трафика на разные цепочки) вы можете держать это под контролем.

Для справки, у меня есть брандмауэр iptables с 20k правилами, который вполне адекватно работает при трафике пары сотен Мбит / с ... Не думаю, что вам есть о чем беспокоиться с 15 правилами.