No Linux, usar rota para blackhole e IP resulta em melhor desempenho do que em iptables? [duplicado]

Supondo que você esteja bloqueando com base no endereço source e não no destino, fazer o DROP in raw / PREROUTING funcionaria bem, pois você seria capaz de descartar o pacote antes que qualquer decisão de roteamento seja tomada. .

Lembre-se, no entanto, que as regras do iptables são essencialmente uma lista vinculada e, para um ótimo desempenho, ao bloquear um número de endereços, você deve usar um ipset.

Por outro lado, se bloquear por destino, provavelmente haverá pouca diferença entre o bloqueio na tabela de roteamento e o iptables EXCEPTO se os IPs de origem forem falsificados, caso em que as entradas de blackholed poderão consumir recursos de cache de roteamento; neste caso, cru / PREROUTING permanece preferível.

Sua rota de saída não vai importar até que você tente enviar um pacote de volta ao atacante. A essa altura você já terá incorrido na maior parte do custo de instalação do socket e pode até ter um thread bloqueando esperando que o kernel conclua que você não tem rota para hospedar, além do erro que manipula o processo do servidor quando conclui que há um problema de rede .

iptables ou outro firewall permitirão bloquear o tráfego de entrada e descartá-lo antes que ele atinja o processo do daemon em seu servidor. Parece claramente superior neste caso de uso.

iptables is é a ferramenta padrão para bloquear ataques de ddos. Por acaso tenho uma enorme lista de iptables sob um ataque muito pesado de ddos e funciona muito bem. Eu preferiria o iptables.