我有CentOS 7,Plesk 12,8GB内存VPS。
我在IPtables中有大约1000条规则来阻止滥用用户。 但重新加载IPtables时,需要15秒钟才能重新加载所有1000条规则。
首先,如果有1000条规则,在15秒内重新加载IPtables是否是预期的结果? 这对我来说有点慢。 公平的说,我的服务器空闲,其他任何事情都运行得非常快。 这是我的服务器configuration错误还是正常?
所以我想安装IPset,但它不适用于我的VPS,因为它使用OpenVZ。 IPset不可用于OpenVZ。
除IPset之外,还有什么其他替代方法可以减lessIPtables规则?
你可以用iptables链中的三个replaceipset。 https://github.com/netoptimizer/IPTables-SubnetSkeleton模块生成它们,但缺less文档和示例。
小SubnetSkeleton使用示例可以在这里find: http ://www.slideshare.net/brouer/netfilter-making-large-iptables-rulesets-scale(在幻灯片16)。