Soru IPset Alternatifleri ve Güvenlik Duvarı Yönetimi


CentOS 7, Plesk 12, 8GB RAM VPS var.

Kötücül kullanıcılarıma kötü amaçlı kullanıcıları engellemek için yaklaşık 1000 kuralım var. Ancak IPtables'leri yeniden yüklerken, tüm 1000 kuralları yeniden yüklemek 15 saniye sürer.

Her şeyden önce, 1000 kural varsa, IPtables'leri 15 saniye içinde yeniden yüklemek beklenen bir sonuç mu? Bu bana biraz yavaş geliyor. Oldukça, sunucum boşta ve başka bir şey oldukça hızlı çalışır. Sunucumda bir yanlış yapılandırma mı yoksa normal mi?

Bu yüzden IPset'i kurmak istedim, ancak OpenVZ kullanması nedeniyle VPS'm için uygun değil. IPset, OpenVZ için mevcut değildir.

IPtables kurallarını azaltmak için IPset dışında başka hangi alternatifler var?


5
2018-04-13 14:34


Menşei


+1. Bunu da merak ediyorum, acı verici bir şekilde yavaş ve hızlandırmak istiyorum. Biraz esprili bir not olarak: Hızlı ve kolay olduğu için APF kullanıyoruz, fail2ban, cpHulk, vb. İle çalışıyoruz. Rusya / Ukrayna / Çin / Hindistan / OVH'den gelen boğa * t'den kaynaklanan sürekli torrent nedeniyle, 19.000 engellenmiş IP var. ve ASN'ler deny_hosts.rules içinde, sonuçta iptables'in üstünde piggyback yapıyor. İptables'i azaltan APF'yi en son yeniden başlattığım / yeniden başlattığımda, yaklaşık 30 dakika sürdü. Amanın. Bonus sorusu, bu [APF] tasfiyesini / yeniden başlat şemasını daha hızlı nasıl yapabilirim? - dhaupin
Diğer alternatifiniz OpenVZ tabanlı VPS'leri kullanmamaktır. - Michael Hampton♦
Bu bir çözümdür, ancak güvenilir bir hosting şirketi bulmak ve göç etmek başka bir sorundur. - NecNecco
Bu çözüm yardımcı olabilir ve ilgili olabilir: serverfault.com/questions/334885/... - 16851556
Netfilter.org adresinden yüklenebilen ipset'i kaynak koddan indirmeyi ve derlemeyi denediniz mi? - cybernard


Cevaplar:


Ipset'i üç iptables zinciriyle değiştirebilirsiniz. https://github.com/netoptimizer/IPTables-SubnetSkeleton modül bunları üretir, ancak dokümantasyon ve örnekler içermez.

Küçük SubnetSkeleton kullanım örneği burada bulunabilir: http://www.slideshare.net/brouer/netfilter-making-large-iptables-rulesets-scale (slaytta 16).


0
2017-11-17 17:38