Блокировать страны, используя iptables /netfilter

Легко заблокировать IP-адреса из страны, используя iptables (например, http://www.cyberciti.biz/faq/block-entier-country-using-iptables/). Однако я прочитал, что производительность может снизиться, если список запретов станет слишком большим. Альтернативой является установка патча iptables geoip или использование ipset ( http://www.jsimmons.co.uk/2010/06/08/using-ipset-with-iptables-in-ubuntu-lts-1004-to-block-large-ip-ranges/) вместо iptables.

Кто-нибудь имеет опыт работы с различными подходами и может что-то сказать о различиях в производительности?

Существуют ли другие способы заблокировать IP-адреса стран в Linux, о которых я не упоминал выше?

1 ответ

Решение

Я использую geoip с ipset. Я бы порекомендовал использовать его, так как он очень мало влиял на производительность в моей сети. если вы используете только iptables, то, конечно, чем дольше становится набор правил, тем выше будет задержка прохождения пакета.

IpSet фактически совпадает с группой IP-адресов, и сопоставление выполняется одним махом, вместо сопоставления каждого правила для каждого блока ips в цепочках iptable.

Другие вопросы по тегам