我想问一下iptables的性能怎么样?
假设我将一些 IP 地址列入白名单和黑名单,我会阻止大约 10 000 多个 IP 地址,因此每个 IP 都像新规则一样。
我不知道它有多快,因为假设有人对我的带宽为几 Gbps 进行 DDoS,iptables 可以处理吗?
CPU:1核Intel® Xeon® E5-2650L v4
是否可以使 iptables 更快?例如,我将所有这些 IP 地址“捆绑”到 1 条规则中。
答案1
DDoS 攻击的带宽达到几 Gbps,iptables 可以处理吗?
只要您为 Iptables 提供足够的资源,它就能处理任何事情,而且它的使用寿命可能比您的物理连接更长。
可以让 iptables 更快吗?例如,我将所有这些 IP 地址“捆绑”到 1 条规则中。
这称为地址汇总,是的,您可以这样做。
Iptables 非常有效,如果您想测试它,我可能会建议允许一切,将机器放在私有网络上并设置加载器。1 Gbp/s 时的系统进程负载是多少?它是 2、3、4 还是其他?从中了解 Iptables 能做什么和不能做什么。
答案2
如果您确实遭受了拒绝服务攻击,当流量到达主机时就太晚了。他们已经使用了您的带宽。请参阅我们的关于 DoS 和 DDoS 缓解的典型问题。
使用主机防火墙来阻止少数烦人的客户端扫描您的应用程序。使用具有 DDoS 迁移服务、CDN 清理器和大带宽的服务提供商来抵御大规模攻击。