我正在设置 Fail2ban 来保护 ssh,并且我使用firewalld,我看到很多人建议使用anaction = iptables-multiport
和其他使用 iptables 的解决方案而不是firewalld,声称它更快或消耗更少的资源。
正如我之前所说,我已经配置了firewalld(实际上我只是阻止了除我使用的端口之外的所有端口,这花了我 3 分钟),我想知道是否应该通过设置来使用 iptables 或firewalld 来firewallcmd-ipset
代替上述配置(无论哪个更快)。
我还注意到我安装了一个 iptables 包,尽管我不记得安装过它,但它没有运行,也无法运行。
只是为了澄清一下:
哪一个性能更好?
fail2ban 在 centos7 上使用的默认防火墙是什么?
Firewalld 是否取代了 Iptables,或者它只是一种与之交互的不同方式?
提前致谢!
答案1
如果您已经使用过firewalld,那么您应该让fail2ban也使用firewalld。在这种情况下,让它直接使用iptables是没有意义的。更不用说它firewallcmd-ipset
对于大型禁令列表的性能比 好得多iptables-multiport
。
答案2
我已经为此奋斗了好几天,我发现完全不涉及 iptables 会更方便。