Eu estou querendo saber como escalável é adicionar endereços IP ou sub-redes que eu quero bloquear no ufw. Por exemplo, faço isso sempre que descubro um bot ou farm de servidores particularmente ruim. À medida que minha lista cresce, me pergunto quanto sobrecarga estou colocando no sistema; porque agora todos os pacotes devem ser verificados nesta lista.
Alguém tem experiência com uma lista de bloqueios de um determinado tamanho que começou a causar o carregamento do sistema ou lentidão de rede?
Existe alguma coisa nos documentos em algum lugar sobre isso?
Agora eu tenho cerca de 15 regras. Existe algum número de regras que devo ficar abaixo?
É muito menos carga do que tentar atender o tráfego ... grandes cadeias têm um impacto no desempenho, mas com um pouco de otimização criteriosa (dividindo o tráfego em cadeias diferentes) você pode mantê-lo sob controle.
Para referência, eu tenho um firewall de iptables de regras de 20k que funciona adequadamente abaixo de algumas centenas de Mbps de tráfego ... Eu não acho que você tenha muito com o que se preocupar com 15 regras.