Как влияет фильтр запрета iptables/ufw на нагрузку на сервер?
Мне интересно, насколько масштабируемым является добавление IP-адресов или поддиапазонов, которые я хочу заблокировать в UFW. Например, я делаю это всякий раз, когда обнаруживаю особенно плохую бот или ферму серверов. По мере того, как мой список растет, мне интересно, сколько накладных расходов я вкладываю в систему; потому что теперь каждый пакет должен быть проверен по этому списку.
У кого-нибудь есть опыт работы с черным списком определенного размера, который начал вызывать нагрузку на систему или замедление работы сети?
Есть ли в документах что-нибудь об этом?
Сейчас у меня около 15 правил. Есть ли какое-то количество правил, которым я должен оставаться ниже?
1 ответ
Это намного меньше нагрузки, чем пытаться обслуживать трафик... большие цепочки влияют на производительность, но с некоторой разумной оптимизацией (разделение трафика на разные цепочки) вы можете держать его под контролем.
Для справки, у меня есть брандмауэр iptables с правилом 20k, который вполне адекватно работает при трафике в пару сотен Мбит / с... Не думаю, что вам есть о чем беспокоиться с 15 правилами.