我使用 IP 地址范围来阻止其他国家/地区,当我使用 SSH 或某些 Web 服务时,速度会变慢,如果我删除规则并使一切恢复正常,它会正常工作,有什么想法吗?
答案1
嗯,预计会出现一些降级,特别是如果您使用 iptables 阻止整个国家/地区的范围。所有规则都会被读取,直到出现匹配,而 netfilter 处理对于大量规则来说可能会很痛苦。如果您想阻止国家/地区网络,请使用IP集
ipset 是 iptables 的扩展,它允许您创建一次匹配整个地址“集”的防火墙规则。与线性存储和遍历的普通 iptables 链不同,IP 集存储在索引数据结构中,使得查找非常高效,即使在处理大型集时也是如此。