我想知道将我想要阻止的 IP 地址或子范围添加到 ufw 的可扩展性如何。例如,每当我发现特别糟糕的机器人或服务器场时,我都会这样做。随着我的列表不断增长,我想知道我会给系统带来多少开销;因为现在必须根据此列表检查每个数据包。
有没有人遇到过一定大小的阻止列表开始导致系统负载或网络减速的情况?
文档中是否有关于此内容的内容?
目前我有大约 15 条规则。我应该遵守以下规则吗?
答案1
这比尝试服务流量要少得多......大型链条会对性能产生影响,但通过一些明智的优化(将流量分成不同的链条),您可以控制它。
作为参考,我有一个 20k 规则的 iptables 防火墙,在几百 Mbps 的流量下表现相当不错...我认为您不必担心 15 条规则。