增加 iptables 中的规则数量会降低我的互联网速度吗

Question

取决于规则的编写方式。是的，如果实施不当，2400 条规则可能会损坏您的系统。流量规则应根据典型的带宽使用情况编写。

例如：accept established related 应该是规则 #1 当您需要阻止大量作恶者时，将 ipset 与 iptables 结合使用也可以提高性能。通过 ipset 的 iptables 黑名单应该是规则 #2。下一组规则需要根据您的环境添加到 ipset 阻止列表中。

计算每种数据包的带宽使用情况，并按带宽从高到低的顺序排列规则

当更多的流量触及更多的规则时，速度就会显著减慢。2000 条规则乘以每秒 50,000 个数据包将使很多计算机陷入瘫痪。

 2,000*50,000pps= 100,000,000 compares per second is very hard on the cpu.
  2,000*1pps     =       2,000 compares per second is easy.

Answer 1

取决于规则的编写方式。是的，如果实施不当，2400 条规则可能会损坏您的系统。流量规则应根据典型的带宽使用情况编写。

例如：accept established related 应该是规则 #1 当您需要阻止大量作恶者时，将 ipset 与 iptables 结合使用也可以提高性能。通过 ipset 的 iptables 黑名单应该是规则 #2。下一组规则需要根据您的环境添加到 ipset 阻止列表中。

计算每种数据包的带宽使用情况，并按带宽从高到低的顺序排列规则

当更多的流量触及更多的规则时，速度就会显著减慢。2000 条规则乘以每秒 50,000 个数据包将使很多计算机陷入瘫痪。

 2,000*50,000pps= 100,000,000 compares per second is very hard on the cpu.
  2,000*1pps     =       2,000 compares per second is easy.

相关内容