Quantas regras de bloqueio do iptables são demais?

Navegue suas respostas
6

Temos um servidor com um processador AMD Opteron Quad-Core 2378. Ele atua como nosso firewall para vários servidores. Fui solicitado a bloquear todos os IPs da China.

Em uma rede separada, temos algumas pequenas máquinas VPS (256MB e 512MB). Fui convidado para bloquear a China nesses VPS também.

Procurei on-line e encontrei listas que exigem 4500 regras de bloqueio. Minha pergunta é colocar todas as 4.500 regras como um problema? Eu sei que o iptables pode lidar com muito mais regras do que isso, o que me preocupa é que estes são blocos que eu não quero ter acesso a nenhuma porta, eu preciso colocar essas regras antes de qualquer permissão. Isso significa que todo o tráfego legítimo precisa ser comparado a todas essas regras antes de passar. O tráfego será visivelmente mais lento após a implementação? Esses pequenos VPS serão capazes de processar muitas regras para cada novo pacote (eu colocarei uma permissão estabelecida antes dos blocos)?

Minha pergunta não é Quantas regras o iptables pode suportar? , sobre o efeito que essas regras terão em carga e velocidade.

Obrigado.

    
por mhost 17.10.2013 / 21:00

1 resposta

12

Ele suportará muitas regras, mas você realmente não desejaria percorrer uma cadeia de 4.500 regras.

Como @Zoredache apontou, você também poderia dividir as cadeias binária. Se você fez isso perfeitamente, você poderia diminuir o número de travessias de corrente para 13.

A maneira mais simples de fazer isso é com ipsets.

Estou usando o EL6, que fornece suporte para isso. Obviamente eu não conheço todos os netblocks chineses, então estou apenas preenchendo isso com lixo ... 

ipset create china hash:net
ipset add china 1.2.3.0/24
ipset add china 2.4.0.0/16
ipset add china 123.0.0.0/8
ipset add china 145.12.5.0/24

Em seguida, adicione uma regra ao IPtables para combinar nesse conjunto e eliminar o tráfego. 

iptables -I INPUT -m set --match-set china src -j DROP

Isso é muito mais eficiente e mais rápido que as cadeias de regras padrão.

    
por 17.10.2013 / 21:22

Tags

Altere o relatório de erros do php para ocultar os avisos apenas para um site específico [Debian | Ubuntu] Um programa de primeiro plano chamado por um daemon deve dividir o log entre stderr e stdout com base nos níveis de severidade?