我有 CentOS 7、Plesk 12、8GB RAM VPS。
我的 IPtables 中有大约 1000 条规则用于阻止滥用用户。但是,当重新加载 IPtables 时,需要 15 秒才能重新加载所有 1000 条规则。
首先,如果有 1000 条规则,在 15 秒内重新加载 IPtables 是否是预期结果?这对我来说有点慢。实际上,我的服务器处于空闲状态,其他任何事情都运行得相当快。这是我的服务器配置错误还是正常现象?
所以我想安装 IPset,但它不适用于我的 VPS,因为它使用 OpenVZ。IPset 根本不适用于 OpenVZ。
除了 IPset 之外,我还有什么其他选择来减少 IPtables 规则?
答案1
你可以用三个 iptables 链来替换 ipset。https://github.com/netoptimizer/IPTables-SubnetSkeleton模块生成它们,但缺少文档和示例。
小型 SubnetSkeleton 使用示例可在此处找到:http://www.slideshare.net/brouer/netfilter-making-large-iptables-rulesets-scale(第 16 张幻灯片)