Combien de règles bloquent iptables - c'est trop

Nous avons un serveur avec un processeur quadricœur AMD Opteron 2378. Il agit comme un pare-feu pour plusieurs serveurs. On m'a demandé de bloquer toutes les adresses IP de la Chine.

Dans un réseau séparé, nous avons plusieurs petites machines VPS (256 MB I. 512 Mb). On m'a également demandé de bloquer la Chine sur ces VPS.

Je suis allé sur Internet et j'ai trouvé des listes qui nécessitent 4500 Règles de verrouillage. Ma question: y aura-t-il un problème pour tout introduire 4500 Des règles? je le sais iptables Cela peut gérer beaucoup plus de règles que cela m'inquiète, car ce sont les blocs auxquels je ne veux pas avoir accès à aucun port, je dois mettre ces règles avant toute résolution. Cela signifie qu'avant de passer, tout le trafic légitime doit être comparé à toutes ces règles. Y aura-t-il plus de circulation lente après cela? Va ces petits VPS gérer un tel certain nombre de règles pour chaque nouveau paquet (Je vais mettre la permission définie avant les blocs)?

Ma question n'est pas
https://serverfault.com/questi ... pport
Il s'agit de l'impact de ces règles pour la charge et la rapidité.

Remercier.
Invité:

Dominique

Confirmation de:

Il soutiendra un tel certain nombre de règles, mais vous ne voulez vraiment pas passer la chaîne de 4500 des règles.

Comme indiqué @Zoredache, Vous pouvez également les chaînes de pause binaires. Si vous le faites parfaitement, vous pourriez réduire le nombre de contournements de chaîne 13.

Le moyen le plus simple de le faire - utilisation ipset.

j'utilise EL6, qui le soutient. Évidemment, je ne connais pas tous les blocs de réseau chinois, alors je viens de marquer cette poubelle ..

ipset create china hash:net
ipset add china 1.2.3.0/24
ipset add china 2.4.0.0/16
ipset add china 123.0.0.0/8
ipset add china 145.12.5.0/24

Ajoutez ensuite B. IPtables La règle qui correspondra à cet ensemble et réinitialiser le trafic.

iptables -I INPUT -m set --match-set china src -j DROP

Il est beaucoup plus efficace et plus rapide que les chaînes de règles standard.

Pour répondre aux questions, connectez-vous ou registre