Мне интересно, насколько масштабируемым является добавление IP-адресов или поддиапазонов, которые я хочу заблокировать в ufw. Например, я делаю это всякий раз, когда обнаруживаю особенно плохого бота или ферму серверов. По мере того, как мой список растет, мне интересно, сколько накладных расходов я возлагаю на систему; потому что теперь каждый пакет нужно проверять по этому списку.
Есть ли у кого-нибудь опыт работы со списком блокировки определенного размера, который стал вызывать загрузку системы или замедление работы сети?
Есть ли что-нибудь в документации по этому поводу?
Сейчас у меня около 15 правил. Есть ли ряд правил, по которым я должен оставаться ниже?
Это намного меньше нагрузки, чем попытка обслуживания трафика ... большие цепочки влияют на производительность, но с небольшой разумной оптимизацией (разделением трафика на разные цепочки) вы можете держать это под контролем.
Для справки, у меня есть брандмауэр iptables с 20k правилами, который вполне адекватно работает при трафике пары сотен Мбит / с ... Не думаю, что вам есть о чем беспокоиться с 15 правилами.