使用 IPtables 或空路由将大约 100 万个 IP 地址列入黑名单？

Question 1

尝试使用 iptables 并构建多级树来减少查找次数。

iptables -N rules_0_0_0_0_2
iptables -N rules_64_0_0_0_2
iptables -N rules_128_0_0_0_2
iptables -N rules_192_0_0_0_2
iptables -N rules_0_0_0_0_4
iptables -N rules_16_0_0_0_4

iptables -A INPUT -p tcp --dport 80 -s 0.0.0.0/2 -j rules_0_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 64.0.0.0/2 -j rules_64_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 128.0.0.0/4 -j rules_128_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 192.0.0.0/4 -j rules_192_0_0_0_2

iptables -A rules_0_0_0_0_2 -s 0.0.0.0/4 -j rules_0_0_0_0_4
iptables -A rules_0_0_0_0_2 -s 16.0.0.0/4 -j rules_16_0_0_0_4

等等 - 添加嵌套级别；显然，您需要一种自动的方式来构建规则，并且您应该只为有一个或多个罪犯的网络设置链条 - 这样，您可以大大减少必须进行的查找次数，我认为它可能真的有效。

Answer

尝试使用 iptables 并构建多级树来减少查找次数。

iptables -N rules_0_0_0_0_2
iptables -N rules_64_0_0_0_2
iptables -N rules_128_0_0_0_2
iptables -N rules_192_0_0_0_2
iptables -N rules_0_0_0_0_4
iptables -N rules_16_0_0_0_4

iptables -A INPUT -p tcp --dport 80 -s 0.0.0.0/2 -j rules_0_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 64.0.0.0/2 -j rules_64_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 128.0.0.0/4 -j rules_128_0_0_0_2
iptables -A INPUT -p tcp --dport 80 -s 192.0.0.0/4 -j rules_192_0_0_0_2

iptables -A rules_0_0_0_0_2 -s 0.0.0.0/4 -j rules_0_0_0_0_4
iptables -A rules_0_0_0_0_2 -s 16.0.0.0/4 -j rules_16_0_0_0_4

等等 - 添加嵌套级别；显然，您需要一种自动的方式来构建规则，并且您应该只为有一个或多个罪犯的网络设置链条 - 这样，您可以大大减少必须进行的查找次数，我认为它可能真的有效。

Question 2

这正是ipset目的所在。

来自其网站http://ipset.netfilter.org/：

如果你想

一次性存储多个IP地址或端口号，并通过iptables进行集合匹配；
动态更新针对 IP 地址或端口的 iptables 规则，而不会影响性能；
使用单个 iptables 规则表达基于复杂 IP 地址和端口的规则集，并受益于 IP 集的速度

那么 ipset 可能是适合您的工具。

它是由 netfilter 核心团队成员 Jozsef Kadlecsik（他还编写了 REJECT 目标）编写的，所以这是我能想到的最佳选择。

它甚至包含在最新的内核中。

Answer

这正是ipset目的所在。

来自其网站http://ipset.netfilter.org/：

如果你想

一次性存储多个IP地址或端口号，并通过iptables进行集合匹配；
动态更新针对 IP 地址或端口的 iptables 规则，而不会影响性能；
使用单个 iptables 规则表达基于复杂 IP 地址和端口的规则集，并受益于 IP 集的速度

那么 ipset 可能是适合您的工具。

它是由 netfilter 核心团队成员 Jozsef Kadlecsik（他还编写了 REJECT 目标）编写的，所以这是我能想到的最佳选择。

它甚至包含在最新的内核中。

Question 3

我自己没有测试过这个，但是当我听到你的问题描述时我立即想到了“ pf”（来自 OpenBSD）。

pf有以下概念地址表这可能正是您所寻找的。

据一些非常根据我所做的粗略研究，这似乎比更具潜力ipset。根据PF FAQ 中有关运行时选项的章节，无需调整，开箱即用，pf 总共支持 1,000 个表，默认情况下所有表总共有 200,000 个条目。（如果系统的物理内存小于 100MB，则为 100,000）。这让我相信，至少值得考虑尝试测试一下，看看它是否在任何有用的层面上起作用。

当然，我假设您在 Linux 上运行服务器，因此您必须有一个单独的防火墙盒，运行带有 pf 的某些操作系统（如 OpenBSD 或 FreeBSD）。您也可以通过完全取消任何类型的状态数据包过滤来提高吞吐量。

Answer

我自己没有测试过这个，但是当我听到你的问题描述时我立即想到了“ pf”（来自 OpenBSD）。

pf有以下概念地址表这可能正是您所寻找的。

据一些非常根据我所做的粗略研究，这似乎比更具潜力ipset。根据PF FAQ 中有关运行时选项的章节，无需调整，开箱即用，pf 总共支持 1,000 个表，默认情况下所有表总共有 200,000 个条目。（如果系统的物理内存小于 100MB，则为 100,000）。这让我相信，至少值得考虑尝试测试一下，看看它是否在任何有用的层面上起作用。

当然，我假设您在 Linux 上运行服务器，因此您必须有一个单独的防火墙盒，运行带有 pf 的某些操作系统（如 OpenBSD 或 FreeBSD）。您也可以通过完全取消任何类型的状态数据包过滤来提高吞吐量。

Question 4

对于后代：根据ipset文档，集合的默认大小是 65536，可以通过选项进行更改。

maxelem 该参数对所有哈希类型集合的创建命令有效。它定义了集合中可以存储的最大元素数，默认为 65536。例如：ipset create test hash:ip maxelem 2048.

我把它放在这里因为我还不能发表评论。

Answer

对于后代：根据ipset文档，集合的默认大小是 65536，可以通过选项进行更改。

maxelem 该参数对所有哈希类型集合的创建命令有效。它定义了集合中可以存储的最大元素数，默认为 65536。例如：ipset create test hash:ip maxelem 2048.

我把它放在这里因为我还不能发表评论。

使用 IPtables 或空路由将大约 100 万个 IP 地址列入黑名单？

编辑 2011 年 11 月 26 日

答案1

答案2

答案3

答案4

相关内容